I.6.2. Protection des accès réseau
La protection des accès réseau consiste non
seulement à maîtriser les flux réseau qui transitent dans
l'entreprise par l'implémentation de systèmes pare-feu, mais
aussi à assurer un niveau de confidentialité suffisant des
données qui seront transmises à l'aide de protocoles de
sécurité.
Tout accès à un réseau externe au
réseau d'entreprise doit faire l'objet d'un contrôle
d'accès afin de ne laisser passer que le trafic autorisé.
L'objectif d'un tel contrôle est à la fois de créer un
périmètre de sécurité, de limiter le nombre de
points d'accès afin de faciliter la gestion de la
sécurité, mais aussi de disposer de traces systèmes en cas
d'incident de sécurité.
14
En filtrant le trafic entrant et sortant du réseau
d'entreprise, on réduit tout d'abord l'éventail des attaques
possibles aux seuls services autorisés à transiter sur le
réseau. De plus, suivant le niveau de granularité du
contrôle de filtrage mis en place, on peut se prémunir contre les
attaques de type déni de service, spoofing, etc., ainsi que contre les
attaques applicatives sur les programmes CGI (Common Gateway Interface) d'un
site Web si l'on met en place un filtrage applicatif (proxy) ou les attaques
à partir de programmes Java, etc.
V' Le pare-feu
Un pare-feu6 est un composant réseau qui
permet non seulement de concentrer l'administration de la
sécurité en des points d'accès limités au
réseau d'entreprise mais aussi de créer un
périmètre de sécurité, par exemple entre le
réseau intranet de l'entreprise et le réseau Internet. Une
architecture à base de pare-feu offre l'avantage de concentrer les
efforts de sécurité sur un unique point d'entrée.
Grâce à des mécanismes de filtrage en profondeur ainsi
qu'à des fonctions de journalisation des événements, les
pare-feu sont en outre des éléments cruciaux pour les
investigations de sécurité.
V' Les NIPS (Network Intrusion Prevention
System)
Les NIPS sont des IPS permettant de surveiller le trafic
réseau, ils peuvent prendre des mesures telles que terminer une session
TCP. Une déclinaison en WIPS (wireless intrusion prevention system) est
parfois utilisée pour évoquer la protection des réseaux
sans-fil7.
Ils incarnent une nouvelle génération
d'équipements réseau qui combine les fonctionnalités des
IDS (Intrusion Detection System) et celles de pare-feu. Ils présentent
au minimum deux interfaces réseau (entrante et sortante) et se
positionnent en passerelle/coupure de niveau 2 OSI du trafic réseau.
Bien qu'un NIPS reste invisible pour le trafic IP (il n'agit pas comme un noeud
IP), le trafic réseau est analysé en son sein afin de
contrôler les données et de détecter des attaques
potentielles.
À l'inverse d'un IDS, un NIPS peut agir directement sur
le trafic lors de la détection d'un trafic malicieux en agissant en
coupure sur ce trafic. Cela permet de réduire la propagation de
l'attaque au plus vite. L'objectif de tels équipements est ainsi
d'offrir des contre-mesures en temps réel.
| 
