» Acquisition

Sécuriser les échanges numériques



Section 6. Les réseaux et leur protection

Plan de la section[ masquer ]

Il est utile pour une meilleure appréhension de la sécurisation des réseaux de rappeler schématiquement les deux configurations réseau les plus courantes.

-

-

La première configuration est presque commune à tous les foyers et petites et moyennes entreprise. La seconde configuration est plus dépouillée que la première au niveau sécurité en mettant en œuvre une zone démilitarisée (DMZ) et un système de détection d'intrusion (IDS). Le système NAT installé généralement sur les routeurs permet de relier un réseau local au réseau Internet en gérant une table de correspondances entre les adresses privées et les adresses publiques. Ceci induit une première protection dans la mesure ou les adresses privées ne sont pas visibles sur Internet car seule l'adresse IP du routeur est publique et si aucune installation de serveur n'est prévue, une connexion avec l'extérieur ne peut être initialisée que par un ordinateur du réseau privé. Dans le cas ou des applications de type serveur doivent être installées, un certain nombre de réglages doivent être effectués au niveau du système NAT. Le recours à une DMZ permet de cantonner ces applications sur des machines ouvertes au trafic depuis et vers le réseau interne et le réseau externe.

WifiParefeuRéseaux virtuels privés


§1. Les réseaux sans fil

-
En général les architectures de réseaux ci-dessus sont complétés par le déploiement de réseaux sans fil (Wi-Fi) qui apporte plus de flexibilité de par la mobilité qu'il procure. La protection du réseau dans sa prtie sans fil est double, elle concerne la confidentialité des échanges numériques mais aussi l'accès même au réseau par une personne qui cherche un accès gratuit à Internet. Le risque dans ce dernier cas étant dans ce cas un baisse de la bande passante et surtout l'utilisation de la connexion à des fins illégales, par exemple pour mener des attaques informatiques, pour un téléchargement illégal ou pour mener une compagne de spam. Dans cette situation, la responsabilité du titulaire de la connexion Internet est engagée, c'est son adresse IP qui est utilisée.

La difficulté de confiner les ondes radio propagées par le déploiement d'un réseau Wi-Fi induit des problèmes de sécurité spécifiques du fait notamment de la facilité par laquelle une personne non autorisée pourrait écouter le trafic ou brouiller les communications même en dehors de l'enceinte où le réseau est déployé.


Remarque

De même un réseau Wi-Fi peut être installé discrètement à l'aide d'un point d'accès branché sur une prise de réseau et permettre à une personne malintentionnée d'écouter le réseau quelques pas plus loin.

La protection met en œuvre des solutions de sécurisation :

  • Le protocole WPA ou WPA2 pour l'authentification et le chiffrement des données.
  • Le filtrage des adresses MAC permet de limiter l'accès au réseau à un certain nombre de machines.
  • Dissimulation de l'identifiant du réseau sans fil, le SSID.
  • Limiter la zone de couverture du réseau sans fil en réglant la puissance d'émission de la borne d'accès.

-

Conseils, trucs et astuces


Sécuriser son réseau sans fil : la configuration et donc la sécurisation de celui-ci ce fait via une interface généralement accessible en tapant « http://192.168.1.1 » dans la barre d’adresse de votre navigateur.


§2. Le pare-feu

Important


Le pare-feu est un logiciel qui peut être installé sur un ordinateur personnel ou, dans le cas d’un réseau local, sur un ordinateur dédié pour surveiller, filtrer et contrôler les connexions entrantes et sortantes de l’ordinateur ou du réseau.


En général, les routeurs incluent un minifirewall.


Exemple

Prenons le cas d’un ordinateur personnel, un bon réglage du firewall permettra de détecter rapidement un programme suspect du type troyen qui tente d’établir une connexion sortante. En effet, une connexion, pour qu’elle puisse être établie doit être explicitement autorisée par l’utilisateur.

Pour une application sollicitant l’accès au réseau et dans laquelle l’utilisateur à confiance, il peut créer une règle qui l’y autorise pour éviter que l’autorisation ne lui soit demandée à chaque accès. Ceci est le cas des applications comme le navigateur ou le logiciel de messagerie.

Ainsi des règles de trafic précises peuvent être définies pour les applications connues. Pour le reste des applications installées sur l’ordinateur, la règle par défaut devrait être la demande expresse de l’autorisation et sur la base de la confiance accordée à l’application, une règle d’autorisation ou d’interdiction pourra être créée.

Une règle qui interdirait par défaut au reste des applications l’accès au réseau pourrait concerner certains accès légitimes telles que les mises à jour de certaines applications qui ne sont pas dédiées spécialement pour l’accès au réseau, les antivirus par exemple. A l’inverse, une règle qui autoriserait par défaut l’accès au réseau à ces applications laisserait la porte grande ouverte aux programmes malicieux éventuels installés sur l’ordinateur.

§3. Les réseaux privés virtuels

-
Les réseaux privés virtuels constituent une solution à moindre coût pour mettre en œuvre un réseau privé. Au lieu de relier les différentes ressources matérielles du réseau par des lignes physiques spécialisées, cette solution mettra à profit leur connexion à Internet pour former un réseau privé virtuel totalement sécurisé. Différents sites d'une organisation pourront ainsi mettre en commun via un RPV leurs réseaux privés au sein d'un même réseau global privé. De même cette solution permet au personnel itinérant de travailler à distance sur son ordinateur personnel comme si il était dans son entreprise et bénéficier ainsi de manière totalement transparente des ressources matérielles et logicielles du réseau privé, par exemple récupérer des dossiers ou les déposer en toute sécurité.

Après authentification des parties, le trafic est encapsulé à l'intérieur de paquets IP en utilisant une connexion tunnel. Deux types de protocoles sont à la base du fonctionnement des VPN, le protocole PPTP et le protocole L2TP couplé avec le protocole IPsec. Ce dernier protocole est souvent utilisée dans les échanges devant être sécurisés en attendant la généralisation d'un autre protocole dont en parle souvent et qui s'impose lentement pour remplacer IPv4, le protocole IPv6.

IPv6 améliore IPv4 au niveau de :

  • L'adressage: plus étendu et hiérarchisé
  • L'allocation dynamique de bande passante pour le support d'applications multimédia (visio conférence)

Le déploiement à grande échelle de IPv6 rencontre des problèmes d'ordre logistique et économique.
La solution IPsec qui permet donc de garantir la confidentialité et l'authentification des données transférées par IP est compatible IPv4 et IPv6.

Les universités font elles aussi appel à la solution VPN pour permettre aux enseignants et aux étudiants d'utiliser des ressources telles que les bases de données juridiques mise à disposition par le SCD.


Exemple

JurisClasseur ou Lamy.

La configuration de son poste en tant que client VPN ou même en tant que serveur VPN est relativement facile quand tous les paramétrés tels que les protocoles utilisés et l'adresse du serveur sont connus.