Sécurisation logique d’un réseau câblé

Dans un article précédent, j’ai abordé certaines mesures que les organisations peuvent prendre pour sécuriser leurs réseaux câblés simplement en sécurisant l’accès physique à leur équipement réseau. Cela peut sembler une étape insignifiante, mais le nombre d’histoires de pirates qui commencent par « Alors, j’ai regardé et il y avait un port ouvert (USB, réseau, etc.) et j’y ai branché et c’était en direct » est suffisamment important pour justifier de prêter attention à cette étape.

Maintenant, je vais aborder quelques mesures logiques qui peuvent être prises pour vous aider à sécuriser votre réseau câblé d’un point de vue logique. Bien que les meilleures pratiques comprennent une solution de contrôle d’accès réseau (NAC), les NAC ont tendance à être coûteux si vous avez beaucoup de ports à gérer ; ils peuvent également nécessiter beaucoup de main-d’œuvre pour l’alimentation et l’assistance. Les petites entreprises peuvent ne pas disposer du temps et de l’expertise nécessaires pour mettre en place une solution NAC. Les grandes organisations, qui sont capables de travailler avec l’expertise nécessaire pour exploiter une NAC, pourraient trouver que le coût et les efforts sont tout simplement trop importants à assumer.

Cela ne veut pas dire que vous ne devriez pas utiliser de NAC ou y jeter un œil ! Par tous les moyens, CHAQUE organisation doit utiliser une solution NAC. Cependant, pour la plupart des gens qui lisent cela, nous savons tous que les meilleures pratiques souffrent souvent lorsqu’elles sont satisfaites aux exigences du monde réel et aux opérations quotidiennes. Il n’y a pas de honte ici, juste un effort pour offrir d’autres solutions ou options pour sécuriser ce que vous avez avec les outils à votre disposition.

Ports de console

Dans la publication précédente, j’ai parlé de la façon dont un attaquant valant la peine d’avoir son sel aura un câble de console dans son sac d’astuces. Compter sur votre « câble de console spécial » qu’aucun de vos amis n’a traîné pour assurer la sécurité des ports de console sur vos périphériques réseau est une mauvaise idée. Logiquement, dans la configuration or pour tous les commutateurs de votre organisation, incluez la commande Activer la console Aaa dans ce script de configuration. Cette commande simple garantit que le ou les port(s) de la console sont inclus dans le reste des services d’authentification, d’autorisation et de comptabilité (AAA) du commutateur. Une fois que l’AAA est activé sur les ports de la console, si un attaquant a accès à l’équipement réseau et se connecte à son câble de console, il lui sera demandé d’authentifier les informations d’identification pour accéder au matériel au lieu d’avoir un accès gratuit à votre réseau.

Encore une fois, ce n’est pas la défense la plus sophistiquée, mais si l’attaquant n’a pas les identifiants, ce seul blocage pourrait les ralentir suffisamment pour qu’ils se déplacent, se déclenchent et déclenchent une alerte, ou passent tellement de temps à se faire prendre.

Bien que cela semble drôle, détecter une violation dans l’acte est en fait une bonne chose. Même si nous n’aimons jamais que nos réseaux soient compromis, s’il se produit, il est vraiment bon de savoir exactement quand cela s’est produit et qui était responsable. Le fait d’attraper quelqu’un dans l’acte répond à de nombreuses questions qui seront posées plus tard.
Utilisation de VLAN confinés

Nous savons tous que nous devrions utiliser des VLAN. Ces réseaux locaux virtuels aident à segmenter le réseau pour réduire les domaines de diffusion et séparer le trafic. Il y a plusieurs façons d’y parvenir (ACL, pare-feu) que je ne couvrirai pas ici, mais il y a une astuce que les ingénieurs peuvent faire pour déclencher des attaquants en utilisant la norme de base IEEE VLAN pour introduire un VLAN confiné dans votre réseau.

Un VLAN confiné est simplement un ID VLAN qui est conçu pour être sacrifié aux dieux de la sécurité de l’information (InfoSec). Il peut s’agir de n’importe quel ID VLAN valide, il suffit de le désigner et de le connaître dans toute l’équipe réseau. Une fois l’ID identifié, l’élément crucial de ce VLAN confiné est que l’ID ne doit JAMAIS apparaître sur les liaisons montantes du commutateur. Le VLAN est appliqué à tous les ports qui ne sont PAS UTILISÉS sur le commutateur.

Configuration VLAN confinée

Ces ports doivent être débranchés du câble passant à la prise murale, et également désactivés administrativement, mais si ces étapes sont manquées (parce que personne n’a dit à personne que le port n’était pas utilisé), l’attribution de ce VLAN confiné au port signifie que même si un attaquant accède au port, soit par une prise murale, soit en étant dans la pièce, le branchement à ces ports inutilisés ne lui permettra pas de quitter le commutateur. Sans DHCP et sans possibilité de quitter le commutateur, ils sont confinés au commutateur.

L’un des avantages de l’utilisation de ce VLAN confiné est qu’il peut rapidement signaler à l’équipe réseau les ports non utilisés en regardant simplement l’affectation du VLAN. Si ce VLAN confiné (888 dans l’exemple ci-dessus) est attribué à un port, ils savent que le port n’est pas configuré pour être utilisé. S’il est activé, c’est un problème à étudier. S’il affiche une connexion, cela signale à nouveau un problème qui doit être examiné.

Moins privilégié

Le concept de la moins privilégiée est encore une fois une configuration de sécurité qui réside dans la plupart des matériels d’entreprise, mais qui n’est pas utilisée suffisamment. Bien qu’il ne soit pas aussi coloré et clignotant que les pare-feu nouvelle génération et l’inspection approfondie des paquets, le concept du moindre privilège est l’idée que tout le monde n’a pas besoin d’un accès super utilisateur aux configurations réseau, et qu’il n’en a pas besoin tout le temps. Le moindre privilège implique également des politiques et des procédures que les utilisateurs suivent pour utiliser le moins d’accès nécessaire pour effectuer une tâche, et uniquement un accès de « mise à niveau » selon les besoins pour les tâches plus sensibles.

Lorsque vous définissez l’accès d’un utilisateur à un périphérique ou à un groupe de périphériques, configurez un compte utilisateur unique qui n’a que le niveau d’accès dont cette personne a besoin. L'utilisation d'informations d'identification génériques de super administrateur comme seules informations d'identification du réseau signifie que si ce mot de passe est compromis, les attaquants ont désormais un accès complet au réseau. Toutes les autres fonctionnalités de sécurité intéressantes n’ont pas d’importance si les attaquants peuvent simplement modifier les configurations à leur convenance.

Un autre avantage des identifiants uniques est, si nécessaire, que les journaux d’audit sont beaucoup plus faciles à lire et à déchiffrer. Si tout le monde utilise les mêmes informations d'identification génériques d'administrateur/mot de passe, les journaux d'audit ne peuvent pas indiquer qui a accédé aux périphériques. Les identifiants uniques tels que jpalmer/jimlikescookies signifient que le journal d’audit indiquera que c’est Jim qui a accédé au commutateur et apporté des modifications. Si ces informations d’identification ne sont pas autorisées à apporter des modifications de configuration (les moins privilégiées), les modifications ne peuvent pas être effectuées, ni même afficher les informations d’identification élevées nécessaires pour effectuer ces modifications.

Enfin, les identifiants uniques signifient que lorsque Jim quitte l’entreprise, seuls ses identifiants doivent être supprimés du réseau, pas tout le monde (en raison de quelque chose comme un nom d’utilisateur et un mot de passe d’administrateur). Bien que cela soit plus facile à faire en utilisant un serveur AAA centralisé pour s’authentifier, c’est toujours quelque chose qui peut être fait même sans ce serveur d’authentification central.

Forcer les utilisateurs à élever leurs privilèges, si nécessaire, et utiliser une phrase secrète unique distincte peut être un petit retard pour les utilisateurs autorisés dont ils pourraient se plaindre. Mais ces deux étapes peuvent être un mur de pierre pour un attaquant, même s’il accède au réseau.

N’oubliez pas que c’est peut-être le plus petit obstacle qui empêche une attaque ; nous voulons nous assurer que nous en avons assez pour que les attaquants abandonnent et passent à autre chose.

Erreur de liaison lors de la désactivation

La dernière configuration logique que je veux couvrir est probablement mon préféré. Les attaquants essaient généralement d’être furtifs lorsqu’ils se dirigent vers le réseau afin que leur plan ne puisse pas être arrêté avant qu’il ne soit trop tard. Ainsi, ils n’aiment généralement pas débrancher un appareil actif au cas où il y aurait une alerte sur le réseau pour les appareils qui tombent en panne. De plus, étant donné que certains appareils, comme les points d’accès Wi-Fi®, se trouvent dans des espaces publics et que ces appareils peuvent rarement descendre et monter d’eux-mêmes, il devient difficile de savoir si quelque chose s’est mis hors ligne innocemment ou en raison d’une intention malveillante. Il ne suffit donc pas de vérifier les dispositifs de descente/montée.

En raison de leur accessibilité, les attaquants considèrent les points d’accès Wi-Fi comme une porte d’entrée du réseau qui est largement ouverte et, à ce titre, ils les attaquent. Certaines mesures peuvent être prises pour les sécuriser en utilisant des éléments tels que l’apprentissage MAC ou NAC, mais NAC peut être coûteux et l’adresse MAC est généralement imprimée sur l’appareil. LesRUCKUS commutateurs ICX® de Networks disposent d’une commande qui peut être utilisée, gratuitement, pour aider à se protéger contre toute personne essayant d’utiliser ces points d’accès comme porte d’entrée ouverte du réseau.

erreur-liaison-désactiver bascule-seuil temps d'échantillonnage en secondes temps d'attente en secondes

Appliquée par port, un à la fois ou à une gamme de ports, cette commande semble imposante mais est assez simple à utiliser. Pour un dispositif réseau identifié comme cible potentielle (par exemple, un point d’accès dans un hall ouvert au public et la prise murale accessible), la configuration ressemblerait à ceci :

device(config)# interface ethernet 1/1/1
appareil(config-if-e10000-1/1/1)# erreur de liaison-désactivation 1 1 0

Ce que cette configuration d’échantillon indique au commutateur, c’est que si le port 1 du commutateur tombe en panne une fois (le vert 1) sur une période d’une seconde (le orange 1), le port désactivera (se désactivera) et ne se rallumera JAMAIS (le rouge 0). Ces paramètres peuvent être ajustés selon les besoins, par exemple en ne désactivant que quelques secondes ou même quelques heures, et le nombre de fois que le port devrait descendre au cours de quelques secondes (10 fois en 5 minutes par exemple). Mais pour les zones qui ont été identifiées comme vulnérables, le fait de maintenir le port définitivement désactivé, jusqu’à la réinitialisation manuelle, permet à l’organisation d’envoyer un technicien pour inspecter physiquement le matériel afin de s’assurer qu’il n’a pas été altéré.

Cela prend-il du temps ? OUI !

Le service a-t-il un impact ? OUI !

Est-ce un inconvénient ? OUI !

Est-ce plus chronophage, affectant les services et gênant qu’une violation complète du réseau avec toutes les données volées et les systèmes d’exploitation chiffrés de l’organisation, attendant une rançon pour les déchiffrer ? NON !

Ces alertes peuvent être liées à d’autres plateformes qui peuvent même envoyer des messages et des e-mails pour informer les administrateurs exactement quand cet événement s’est produit, ce qui est une information essentielle pour toute enquête.

Réflexions finales

Il y a suffisamment de configurations logiques et de produits disponibles pour sécuriser vos réseaux afin de remplir un livre de mille pages. L’objectif ici n’était pas de les couvrir tous, juste de mettre en évidence quelques-uns qui peuvent être mis en œuvre sans être prohibitifs en termes de coûts.

Ne me trompez pas, vous allez toujours vouloir dépenser de l'argent pour votre sécurité informatique et prendre d'autres mesures pour sécuriser votre réseau, mais ces étapes que j'ai décrites pourraient être la seule partie du manuel InfoSec qui protège votre réseau et empêche une attaque avant qu'elle ne puisse se produire. Honnêtement, il est probable que ces étapes simples empêcheront une attaque plutôt qu'un investissement de sécurité d'un million de dollars qui arrêtera une attaque 0-Day.

N’oubliez pas que nous devons nous concentrer sur les petites choses pour sécuriser nos réseaux, ainsi que sur les attaques plus importantes, compliquées et de grande envergure que nous avons lues. Les attaquants ne risquent pas d’exposer un exploit super secret s’ils peuvent utiliser une simple porte arrière ouverte.

Joignez-vous à moi dans le prochain volet où je commencerai à parler de la sécurité sans fil. Si vous pouvez le croire, la sécurité sans fil peut en fait être plus facile à mettre en œuvre et à contrôler que la sécurité filaire !