Déploiement d'un réseau informatique pour la transmission de données sécurisées au sein de la mairie Kananga

2.2.2.1. La sécurité logique21(*)26

La sécurité logique de réseau consiste à définir les périmètres suivants :

Ø L'identification des ressources en vue d'une segmentation en fonction des données (sensibles, publiques, privées) des groupes de personnes qui doivent avoir accès, de leur situation géographique et des équipements mis à votre disposition

Ø Conception de ses périmètres (pensez à utiliser les zones physiques : bâtiment, étages...)

a) Sécurité en couche^21(*)27

Ce point aborde des notions générales et fondamentales sur la protection des réseaux de données et sur les couches dites basses du modèle OSI. Les couches sont interdépendantes logiquement par leurs interfaces communes respectives.

1) couche physique

Il s'agit de l'accès le plus largement répandu au réseau par connecteur de type mural RJ45 et de la technologie Wi-Fi ainsi, les premières mesures de protection seront abordées sans pour l'instant toucher la configuration proprement dite d'un équipement.

Dans le cas d'un réseau câblé, il suffit simplement de ne pas connecter la prise murale à l'équipement réseau. Cette méthode fort simple n'est que rarement utilisée et nombreux sont les réseaux accessibles à partir d'une prise murale à partir des endroits les plus anodins. Une autre méthode consiste sur l'équipement réseau à fermer administrativement les ports qui ne sont pas reliés à un ordinateur.

Les accès sans fil sont par nature plus difficiles à protéger contre les tentatives physiques de connexion par le réseau radio. Ils sont vulnérables à des attaques sur les ports câblés qui sont, rappelons-le, quasi directement connectés au reste du réseau. Les ondes radios quant à elles ne connaissent pas les frontières. Une approche de protection consiste à positionner les points d'accès sans fil au plus loin des zones publiques.

La nécessité est d'encourager dans le plan de sécurité d'isoler les zones publiques des zones privées faisant partie du réseau dit interne. Les zones publiques mettent à disposition des visiteurs un accès à Internet faiblement contrôlé grâce à une borne WiFi au rayonnement réduit ainsi le passage d'une zone à l'autre nécessite une authentification.

2) couche liaison

C'est à partir de la couche liaison de données qu'apparaît la notion d'adresse réseau. Cette couche est responsable de la communication d'entités par le biais d'un média commun.

Ses fonctions comprennent entre autres la génération des trames et la détection d'erreurs. Parmi les protocoles de niveau deux les plus connus nous trouvons Ethernet et PPP.

Enfin, en regard de chaque exigence, l'équipement renseigne une case avec ses commentaires et le degré de priorité.

Tableau 1 : Tableau d'exigence

En déduisant ce tableau nous sommes conduits à brosser quelques attaques qui surviennent sur cette couche par exemple :

ü Les attaques par mac flooding

Un commutateur Ethernet est communément désigné par l'appellation de switch. Si un concentrateur Ethernet ou hub est un équipement sans intelligence (parfois comparé à une multiprise) le switch quant à lui possède une table CAM (Content Adressable Memory) dans laquelle sont inscrits des couples port adresse MAC. Les ponts possédaient déjà une table de ce type mais en revanche n'avaient qu'un nombre de ports très limités.

Pour contrer une telle attaque, Cisco propose une commande switchport port-security dont les options permettent :de limiter le nombre d'adresses MAC associées à un port du switch ; de réagir en cas de dépassement de ce nombre ; de fixer une adresse MAC sur un port et de ne retenir que la première adresse MAC qui se présente.

ü Les changements de VLAN

Les attaques virales qui ont ébranlé les réseaux d'entreprises ces dernières années ont prouvé la nécessité de posséder un niveau d'isolation supplémentaire au sein des VLAN. Les vers ayant causé le plus de dégâts embarquaient un dispositif permettant l'expansion rapide de l'attaque aux machines les plus proches. Ainsi, les réseaux directement connectés une fois connus par le vers, furent inondés de messages jusqu'à l'effondrement.

Pour prévenir à une telle attaque, il faut constituer un réseau commuté pouvant héberger de nombreux VLAN (VLAN ACL, Private VLAN)

3) couche réseau

Au niveau de la couche 3 du modèle OSI, les équipements terminaux reçoivent en plus de leur adresse physique (propre à la couche 2) une adresse dite logique.

Les machines qui sont connectées à un réseau et qui doivent échanger des données ne sont pas toutes obligatoirement sur le même segment physique et n'ont donc pas une vue directe les unes des autres. Il est en effet aisé d'aborder les concepts d'adressage et de segmentation en les comparant avec la manière dont les numéros de téléphone sont organisés par pays, par région, par central téléphonique urbain et par répartiteur dans chaque quartier. Cette chaîne hiérarchique est utilisée pour localiser les correspondants en vue d'établir la communication (et de la facturer).

Il en est de même pour les adresses IP qui possèdent des propriétés utilisées par les architectes afin de segmenter les réseaux. Une fois physiquement et logiquement séparés, les équipements terminaux utilisent les services offerts par d'autres équipements afin de communiquer en s'affranchissant de la segmentation. Ces équipements sont connus sous le nom de routeurs qui sont la cible de plusieurs attaques.

Ainsi pour pallier à ces attaques, il est évident de Disposer d'une redondance IP sûre pour la route par défaut(HSRP), Filtrer le trafic entre réseaux IP en tenant compte des connexions et de leur sens (ContextBased access control ACL), Se protéger des attaques TCP (TCP Intercept), Préserver la confidentialité et l'intégrité des échanges(IPSEC).

* ²⁶ Solange Ghernaouti-Hélie, Sécurité informatique et réseaux, 3ème Edition Eyrolles

* ²⁶ http://www.free-livre.com consulté le 4/04/2025 à 20H45