> Tech > Comment sécuriser les réseaux NT / Unix

Comment sécuriser les réseaux NT / Unix

Tech - Par iTPro.fr - Publié le 24 juin 2010
email

Bien que Windows NT et Unix aient en commun bon nombre de forces et de faiblesses en matière de sécurité, l'utilisation simultanée de ces deux OS dans le même réseau ajoute à  sa complexité. Une complexité d'autant plus pesante si ce réseau mixte est connecté à  l'Internet. Les administrateurs de réseaux NT et UNIX mixtes doivent donc impérativement développer et mettre en oeuvre un plan de sécurité complet. Dans un grand nombre d'organisations les plans de sécurité NT et UNIX sont inefficaces. On commet communément l'erreur de croire qu'il suffit d'installer un pare-feu et un serveur proxy pour garantir la sécurité d'un réseau. Cette mesure est importante, certes, mais elle ne représente qu'un élément d'un plan efficace. Un plan de sécurité NT et UNIX complet exige non seulement d'installer des pare-feux et des serveurs proxy, mais également de choisir soigneusement les applications, de sécuriser le serveur Web, de gérer efficacement les mots de passe et les logons, ainsi que les comptes d'utilisateurs et de groupes, de sécuriser physiquement le réseau, de garantir l'intégrité des données via des sauvegardes, et de surveiller les applications.

Installation des
pare feux et des serveurs proxy

Les pare feux et les serveurs proxy sont des outils importants pour sécuriser
les réseaux connectés à  l’Internet. Les pare feux pratiquent le filtrage des paquets
pour restreindre les connexions externes à  un ensemble de services définis. Les
serveurs proxy permettent aux utilisateurs internes d’accéder à  l’Internet, tout
en empêchant les utilisateurs externes de l’Internet de se connecter au réseau.
Il existe même une version hybride de ces deux outils, le pare-feu proxy.

Les pare feux et les serveurs proxy sont des outils importants pour sécuriser
les réseaux connectés à  l’Internet

Certes il est recommandé de profiter de ces technologies, mais il faut savoir
que les pare feux et les pare feux proxy ne sont pas à  l’abri des pirates. Le
filtrage des paquets peut très bien subir des attaques de routeurs. A dire vrai
dès lors que l’on peut appliquer une technique de  » reniflement  » sophistiquée
à  l’environnement d’un routeur, il est impossible de garantir l’invulnérabilité.
Pour empêcher ces attaques, vous pouvez reconfigurer votre routeur. Bien que Telnet
soit un outil de reconfiguration pratique, une méthode plus sûre consiste à  le
reconfigurer manuellement. (La section suivante explique de manière plus détaillée
pourquoi il vaudrait mieux ne pas utiliser Telnet).

Le protocole SNMP du pare-feu risque également d’être attaqué. Un mot de passe
facile à  deviner pour l’accès en lecture/écriture peut entraîner la vulnérabilité
d’un routeur ou d’autres composants matériels du réseau et les exposer à  la reconfiguration,
à  la suppression des filtres de paquets et autres malveillances des pirates.

L’utilisation de services proxy présente un inconvénient, mais il ne concerne
pas la sécurité. Les serveurs et les pare feux proxy risquent de dégrader la vitesse
d’accès à  l’Internet. Cette baisse de performances peut être évitée en utilisant
un serveur proxy ou un pare-feu proxy doté d’une mémoire cache.

Choisir soigneusement ses applications

Normalement, Windows NT et UNIX reposent sur TCP/IP comme protocole de réseau
de base. C’est pourquoi il est relativement facile de connecter des ordinateurs
NT et UNIX entre eux et à  l’Internet.
En revanche, les deux OS sont enclins aux même faiblesses, inhérentes à  TCP/IP.
Il peut se produire des atteintes potentielles à  la sécurité en cas d’utilisation
d’outils et d’utilitaires basés sur TCP/IP, tels que FTP, TFTP (Trivial File Transfer
Protocol), l’utilitaire finger, DNS (Domain Name System), les utilitaires distants
(r)-command, Telnet et NFS.

FTP. Les administrateurs systèmes utilisent souvent ce protocole pour les
comptes d’utilisateurs anonymes qui n’ont pas besoin d’être protégés par mot de
passe. FPT permet à  la plupart des utilisateurs, y compris les pirates, d’accéder
à  un système. Une fois à  l’intérieur, les pirates peuvent facilement se frayer
un chemin à  travers le réseau. Pour se protéger des attaques contre FTP, il faut
définir des permissions de lecture seule dans les fichiers appropriés,
que ce soit sous NT ou UNIX.

TFTP. Ce protocole est une version  » relax  » de FTP. Normalement les utilisateurs
peuvent transférer tout fichier (même les fichiers systèmes comme le Registre
de Windows NT ou /etc/passwd, son équivalent UNIX) sans mot de passe. A moins
d’en avoir absolument besoin, nous recommandons fortement de supprimer ou de désactiver
le fichier tftpd. Si votre réseau a un service TFTP, désactivez-le.

Unix et Windows NT sont enclins aux même faiblesses, inhérentes à  TCP/IP

Finger. Cet utilitaire, qui existe à  la fois pour UNIX et NT, procure
des informations sur les utilisateurs d’un système. Il suffit aux pirates de donner
un prénom ou un nom et l’utilitaire renvoie les noms de logon des utilisateurs
avec les noms et les prénoms correspondants. S’ils donnent une adresse e-mail,
l’utilitaire renvoie des informations sur le profil de l’utilisateur (par exemple
son nom complet) et spécifie s’il est connecté à  ce moment-là . Une fois que les
pirates ont une liste de noms d’utilisateurs, la tâche de découverte sytématique
des mots de passe devient un jeu. C’est à  cause de ces problèmes de sécurité qu’il
faut éviter d’utiliser cet utilitaire.

DNS. La principale fonction d’un serveur DNS classique consiste
à  traduire des noms d’ordinateurs en adresses IP. Ces informations peuvent fournir
juste assez de données à  un pirate pour espionner un système cible. Le dilemme
à  propos de l’Internet réside dans le fait que les informations sur les adresses
IP, associées à  la résolution des noms de domaines, sont fondamentales pour la
communication. La seule solution viable est de maintenir des serveurs DNS distincts
pour la résolution des noms et des adresses IP externes et internes. Le serveur
DNS externe ne doit être accessible qu’aux requêtes sur les données publiques
du réseau. Le système interne doit être protégé par un pare-feu et conserver toutes
les informations sur les adresses IP de l’environnement sécurisé.

Les utilitaires r-command Plusieurs utilitaires r-command (comme rcp, rlogin
et rsh) de la version Berkeley d’UNIX sont utiles mais posent beaucoup de problèmes
de sécurité. Un renifleur peut capturer sans mal des informations r-command, puisque
les utilitaires transmettent toutes les informations, y compris les noms d’utilisateurs
et les mots de passe en clair. (Pour en savoir plus sur les renifleurs, voir l’encadré
 » Renifleurs : l’ennemi commun « ). Beaucoup d’éditeurs proposent des utilitaires
r-command en freeware, mais nous vous recommandons d’éviter de les utiliser dans
votre réseau.

Si vous devez utiliser des utilitaires r-command, chiffrez vos données sensibles.
Il est possible de faire appel à  S-HTTP (Secure HTTP) ou SSL (Secure Sockets Layer)
pour chiffrer les mots de passe et les données à  la fois avec NT et UNIX. N’utilisez
pas HTTP car c’est un protocole non chiffré qui n’évite pas les renifleurs ou
l’espionnage.

Telnet. Dans un environnement interne, Telnet est un outil utile,
surtout si vous devez visualiser des données dans un système mixte NT-UNIX. Mais
si vous utilisez Telnet hors d’un environnement sécurisé, la sécurité est menacée,
car l’application transmet les mots de passe, les noms d’utilisateurs et d’autres
données en clair. Si vous devez utiliser Telnet dans un environnement ouvert,
chiffrez vos données sensibles.

NFS. NFS existe dans toutes les variantes d’UNIX. Beaucoup de solutions
d’éditeurs indépendants pour Windows NT supportent également NFS.

Cet outil largement utilisé permet aux utilisateurs de partager localement les
systèmes de fichiers d’hôtes étrangers. NFS partage les fichiers en exportant
un file system partagé sur un serveur spécifié. Le serveur NFS monte alors le
système de fichiers de telle sorte qu’il paraît local aux utilisateurs.

Si les permissions ne sont pas rigoureusement définies, la sécurité de votre
réseau risque d’être amoindrie

L’utilisation de NFS pose des problèmes de sécurité, car une fois le système
de fichiers de réseau monté, ce système est ouvert à  tout utilisateur jouissant
des permissions appropriées. C’est donc la porte ouverte aux abus. Si vous utilisez
NFS, nous vous recommandons d’activer toutes ses fonctions de sécurité (par exemple
les permissions de lecture et écriture restreintes). En outre, vous devez bien
gérer les permissions des groupes et des utilisateurs. N’exportez que les systèmes
de fichiers indispensables aux utilisateurs.

Une autre approche pour sécuriser le partage de fichiers consiste à  utiliser les
méthodes orientées broadcast que supporte la technologie SMB (Server Message Block)
de Microsoft pour communiquer les ressources. Le CIFS (Common Internet File System)
des systèmes UNIX est une extension de SMB. La technologie SMB existe également
pour d’autres plates-formes clientes, y compris VMS et Macintosh.

Samba est un freeware qui utilise SMB pour permettre le partage des systèmes de
fichiers entre les systèmes UNIX et NT. Il faut se montrer très prudent si l’on
utilise Samba ou tout autre technologie SMB. En effet, SMB utilise NetBIOS pour
diffuser des informations sur les fichiers. Les utilisateurs de DOS et Windows
peuvent ainsi utiliser NETVIEW, NET USE et d’autres utilitaires de ce type pour
accéder aux ressources. Or si les permissions ne sont pas rigoureusement définies,
la sécurité de votre réseau risque d’être amoindrie.

Sécurisez votre serveur Web

Un serveur Web permet aux utilisateurs de télécharger des fichiers désignés
et d’exécuter des scripts CGI (Common Gateway Interface). Voici 10 astuces pour
sécuriser un serveur Web dans un environnement NT-UNIX :

  1. configurez le serveur Web pour refuser l’accès des utilisateurs aux fichiers
    sensibles ;

  2. limitez le serveur Web à  une sous-arborescence de répertoire spécifique
    ;

  3. refusez aux utilisateurs l’accès au fichier de sécurité des mots de passe
    du serveur Web ;

  4. donnez au logiciel du serveur Web des privilèges systèmes limités ;
  5. installez un pare-feu entre le serveur Web et le réseau interne lorsque
    le serveur Web est connecté à  l’Internet ;

  6. n’utilisez pas les fichiers d’équivalence d’UNIX (hosts.equiv) ou les relations
    d’approbation des domaines NT pour définir des relations d’approbation entre
    l’hôte interne et le serveur Web externe. Sinon, si des pirates pénètrent
    dans un système du domaine, tous les autres domaines approuvés sont menacés
    ;

  7. assurez-vous que les scripts CGI n’effectuent que la tâche prévue. Rappelez-vous
    que les utilisateurs externes d’Internet peuvent exécuter ces scripts avec
    des paramètres qu’ils choisissent à  leur gré ;

  8. ne laissez pas les utilisateurs FTP télécharger des scripts CGI dans la
    zone du système de fichiers du serveur Web. Ne les laissez pas non plus télécharger
    leurs propres fichiers. Donnez à  la permission du répertoire cgi-bin l’option
    lire-exécuter ;

  9. désactivez tous les services que vous n’utilisez pas sur le serveur Web
    ;

  10. utilisez S-HTTP ou SSL pour chiffrer les mots de passe et les données.
    N’utilisez pas HTTP car c’est un protocole non chiffré qui n’évite pas l’espionnage
    ou les renifleurs.

Vous devez gérer efficacement le processus de logon, qui démarre dès la création
des mots de passe par les utilisateurs

Gestion efficace des mots de passe et des logons

Pour sécuriser votre réseau NT-UNIX, vous devez gérer efficacement le processus
de logon, qui démarre dès la création des mots de passe par les utilisateurs.
Dans la plupart des organisations, le nom de logon est simple pour l’utilisateur
et relativement facile à  deviner (par exemple jdupont pour Jean Dupont). Cette
pratique laisse au mot de passe le soin de sécuriser l’accès. Il faut donner aux
utilisateurs des directives sur la manière de créer des mots de passe difficiles
à  deviner pour les pirates.
Par exemple, demandez à  vos utilisateurs de ne pas choisir de mots de passe contenant
leur nom ou de faire appel à  des termes de la culture pop (par exemple rollingstone
ou xfiles). Au contraire les utilisateurs doivent créer des mots de passe à  base
de caractères alphanumériques sans signification pour un tiers.

La personne susceptible de voir des données non autorisées ou de détruire des
fichiers risquant autant d’être un individu quelconque qu’un professionnel se
trouvant dans un lieu éloigné, il faut rappeler à  vos utilisateurs de ne pas écrire
ou prononcer leurs mots de passe. Prévenez-les aussi de faire attention à  ceux
qui peuvent les observer en train de taper leur mot de passe ; il est très simple
de répéter des frappes de touches.

Les pirates disposent de dictionnaires et lancent un processus automatique qui
testent les mots de leur dictionnaire par rapport à  un compte d’utilisateur. Dans
NT et la plupart des variantes d’UNIX, il est possible de sélectionner une option
de verrouillage qui bloque le compte d’un utilisateur si les tentatives de soumission
de mots de passe dépassent un nombre spécifié. En tenant compte des utilisateurs
tapant accidentellement un mot de passe erroné, nous vous recommandons de mettre
l’option verrouillage sur trois ou quatre tentatives.

Le compte d’administrateur de Windows NT n’a pas d’option de verrouillage. Le
Kit de ressources de Microsoft Windows NT Server 4.0 contient un utilitaire de
verrouillage, PASSPROP/ADMIN-LOCKOUT.

On peut également changer le nom de logon de l’administrateur pour en faire un
descripteur obscur. Les pirates doivent alors identifier à  la fois le nom de logon
et le mot de passe de l’administrateur pour entrer dans le système. Pour les frustrer
davantage encore, vous pouvez définir un faux compte dans le Gestionnaire des
utilisateurs pour les domaines, sans droits ni privilèges, sous l’ancien nom de
l’administrateur.

Votre gestion des permissions et de la possession des fichiers détermine le
degré de dommages que les pirates peuvent infliger

Comptes d’utilisateurs et de groupes

Si des pirates réussissent à  s’introduire dans votre système d’informations
NT-UNIX par le biais d’un compte d’administrateur, votre mode de gestion des permissions
et de la possession des fichiers est déterminant pour le degré de dommages que
les pirates peuvent infliger. Les systèmes dont les droits ne sont pas rigoureusement
configurés, sont des cibles de choix. Si les pirates pénètrent dans le compte
Administrateur de NT ou le compte racine superuser d’UNIX, ils peuvent commettre
des dégâts irréparables.

Windows NT et UNIX utilisent les mêmes principes de base pour les permissions
et la propriété. Dans les deux cas, les fichiers peuvent n’avoir aucune permission
ou un mélange de permissions de lecture, écriture et exécution. (NT gère également
les permissions de supprimer, lister, modifier et prendre possession). Dans les
deux OS la notion de possession est fondée sur les droits de l’utilisateur à  administrer
un objet et à  fournir des privilèges d’utilisateurs individuels et de groupes.
Les OS ne lient pas la possession à  l’appartenance, sauf si on leur en donne l’instruction.

En d’autres termes, ce n’est pas parce qu’un utilisateur est membre d’un groupe
ayant accès à  un objet, que l’on peut en déduire que cet utilisateur possède cet
objet.

La plupart des problèmes de sécurité proviennent de comptes d’utilisateurs et
de groupes mal gérés. Pour permettre aux collègues d’accéder aux informations,
les utilisateurs leur donnent normalement des permissions d’écriture sur leur
répertoire local. Ce paramétrage invite quiconque à  visualiser, modifier et copier
librement les données.

On peut sécuriser le système en installant des droits de groupes. On crée des
groupes NT locaux et globaux en sélectionnant Nouveau groupe local (ou global)
dans le Gestionnaire des utilisateurs pour les domaines. Dans UNIX vous utilisez
le fichier etc/group pour ajouter des groupes au système et donner aux utilisateurs
la possibilité d’ajouter des membres à  ces groupes et d’affecter des niveaux de
permissions de fichiers. Les utilisateurs peuvent attribuer des privilèges à  un
groupe aux niveaux appropriés de lecture, écriture et exécution.

Pour garantir un environnement UNIX extrêmement sécurisé, vous pouvez utiliser
umask, un utilitaire UNIX qui permet d’établir des permissions de fichier par
défaut dans un script /etc/profile ou .profile. Il est également possible de définir
des paramètres par défaut similaires avec la boîte de dialogue Permissions de
NT dans le fichier Propriétés. On peut protéger au départ les répertoires des
utilisateurs, jusqu’à  ce qu’ils prennent une mesure appropriée pour partager les
fichiers avec un groupe désigné. Il faut encourager les utilisateurs à  réduire
au minimum l’accès des collègues à  leurs fichiers.

Lorsque les utilisateurs partagent des systèmes de fichiers et des ressources,
il convient de prendre des mesures spéciales. En règle générale, il faut maintenir
les droits des systèmes de fichiers par défaut définis par Windows NT et UNIX
dans les répertoires racines ou systèmes. Si nécessaire, vous pouvez aussi contrôler
les permissions concernant les périphériques aux niveaux des utilisateurs et des
groupes.

Sécurisez physiquement votre réseau

Sous-estimer l’importance de la sécurité physique peut être une erreur fatale.
Il est facile de se glisser sous le capot d’un ordinateur. Une fois à  l’intérieur,
il ne faut que quelques secondes à  un pirate pour subtiliser le disque dur et
emporter les données de l’entreprise.

Envisageons un autre scénario. Avec certains UNIX, la possession de la disquette
de boot revient à  détenir la clé du château. Si des employés mécontents s’en procurent
une et s’arrangent pour accéder au lecteur de disquettes ou de CD-ROM, ils peuvent
écraser toutes les données du serveur ou obtenir l’accès à  la console, ouvrant
la porte de tout le système.

Le bon sens dicte de mettre au moins les serveurs dans un local sécurisé ou
de verrouiller les boîtiers

Le même scénario peut se produire avec les systèmes NT ayant des partitions
FAT. Des employés mécontents peuvent facilement réinitialiser ces systèmes avec
une disquette boot. Microsoft a conçu les partitions NTFS pour empêcher de telles
intrusions mais il existe à  présent des utilitaires (comme nftfdos.exe) qui permettent
aux utilisateurs de booter NT avec NTFS.

Que faut-il donc faire pour empêcher ce type d’abus ? Le bon sens dicte de mettre
au moins les serveurs dans un local sécurisé ou de verrouiller les boîtiers. Des
solutions plus sophistiquées consistent à  utiliser des cartes à  puces, des scanners
d’empreintes digitales et des signatures numériques. L’utilisation de mots de
passe au niveau du BIOS est un autre moyen de défense.

Garantissez l’intégrité des données via des sauvegardes

Bien que l’on ne considère pas habituellement ces tâches comme des mesures
de sécurité, il est fondamental pour la sécurité d’un réseau d’effectuer régulièrement
des sauvegardes des données et de sécuriser les systèmes de sauvegarde. Ces sauvegardes
régulières sont cruciales pour restaurer les opérations en cas de dégâts provoqués
par un virus ou d’intervention d’un pirate. Il est tout aussi important de prévoir
ce qu’il advient des supports de sauvegardes. Il faut au minimum les stocker dans
un environnement sûr, mais également envisager d’archiver et d’en stocker un double
dans un lieu distant sécurisé.

Surveiller les applications

La gestion des licences logicielles est une autre tâche que les administrateurs
ne conçoivent pas souvent comme une méthode de sécurité. Pourtant ces licences
représentent habituellement un des plus importants investissements pour les systèmes
d’informations. C’est pourquoi le vol et le piratage constituent des problèmes
majeurs. En tant qu’administrateur systèmes, vous avez la responsabilité de distribuer
les supports et d’empêcher la copie ou le vol non autorisé.

La plus grave erreur que peuvent faire les administrateurs systèmes est de
prendre la sécurité à  la légère

Vous avez également la responsabilité de supprimer et d’empêcher l’installation
d’applications non autorisées. L’installation de logiciels à  partir de sources
inconnues risque d’introduire des virus et des chevaux de Troie dans votre réseau.
(Un cheval de Troie est un programme qui prétend accomplir une certaine tâche,
mais effectue en réalité quelque chose de très différent). Les logiciels non autorisés
peuvent entraîner des fuites ou modifier les propriétés des systèmes. Le chargement
d’outils de monitoring du réseau peut lui-même créer des brèches de sécurité s’ils
sont incorrectement installés.

Il faut maintenir soigneusement les stratégies adaptées de permissions et de possession
pour réduire au minimum les dégâts, en cas de pénétration de virus ou de cheval
de Troie dans votre système. Ceux-ci ne peuvent généralement pas faire de mal
lorsque vous leur refusez l’accès. En outre l’installation d’un antivirus est
une bonne idée.

Ne commettez pas ces erreurs

La plus grave erreur que peuvent faire les administrateurs systèmes est de
prendre la sécurité à  la légère. Mais ils peuvent en commettre une autre en sous-estimant
jusqu’où un pirate peut aller. Pour sécuriser un environnement NT-UNIX il faut
développer et mettre en oeuvre un plan qui soit exhaustif sans être une entrave.
Un plan intégrant les huit éléments que je viens d’évoquer est un bon point de
départ.

Les renifleurs : l’ennemi commun

La connexion à  l’Internet peut affaiblir un réseau NT-UNIX,
notamment en le rendant vulnérable aux attaques de renifleurs. Un renifleur
est une application qui peut piéger et filtrer des paquets envoyées par
l’Internet. Avec les renifleurs, peu importe le protocole (par exemple
TCP/IP, IPX/SPX, ou même NetBEUI) que vous utilisez ; si vous avez des
données non chiffrées sur le même sous-réseau que le renifleur, le pirate
a accès aux données.

Les renifleurs existent déjà . Par exemple les pirates peuvent
utiliser l’outil UNIX IP-Watcher. Cet utilitaire leur permet d’intercepter
un paquet et d’en envoyer un complètement différent à  la place. NETCAT
est un autre renifleur souvent utilisé tant par les pirates que par les
administrateurs systèmes. Les développeurs ont à  l’origine créé NETCAT
pour UNIX mais il existe désormais pour Windows NT.

Téléchargez cette ressource

Comment sécuriser une PME avec l’approche par les risques ?

Comment sécuriser une PME avec l’approche par les risques ?

Disposant de moyens financiers et humains contraints, les PME éprouvent des difficultés à mettre en place une véritable stratégie de cybersécurité. Opérateur de services et d’infrastructures, Naitways leur propose une approche pragmatique de sécurité « by design » en priorisant les risques auxquelles elles sont confrontées.

Tech - Par iTPro.fr - Publié le 24 juin 2010