Récemment, la National Security Agency (NSA) a formulé plusieurs recommandations détaillées à l'intention des entreprises pour qu'elles sécurisent leur infrastructure réseau contre les attaques. On peut bien évidemment imaginer que la guerre en Ukraine n'est pas pour rien dans la publication de ce rapport. Ces propositions comportent notamment des conseils de configuration sûre pour les protocoles réseau les plus courants. L’agence insiste également sur l’adoption de mesures de sécurité de base pour tous les réseaux. Si le rapport de la NSA souligne l'importance des principes de zero trust pour la protection des réseaux, l'essentiel des recommandations porte sur les mesures spécifiques que les administrateurs réseau doivent prendre pour protéger leur infrastructure contre la compromission.
L'utilisation de mots de passe sécurisés et renouvelés fréquemment pour tous les comptes administrateur, la limitation des tentatives de connexion et la mise à jour des systèmes potentiellement vulnérables font partie des conseils. Le rapport décrit également des configurations sûres pour les protocoles SSH (Secure Shell), HTTP et SNMP (Simple Network Management Protocol). « Une configuration inadéquate, une manipulation incorrecte des configurations et des clés de chiffrement faibles peuvent exposer les vulnérabilités de l'ensemble du réseau », indique le rapport. « Tous les réseaux risquent d'être compromis, surtout si les dispositifs ne sont pas correctement configurés et maintenus ».
Miser sur les serveurs AAA
De plus, la NSA recommande l’usage de systèmes de contrôle d'accès au réseau qui ajoutent une couche supplémentaire de sécurité aux réseaux d'entreprise. L'idée est de mettre en place un système robuste pour identifier les terminaux individuels sur un réseau, car la sécurité des ports peut être difficile à gérer et le suivi des dispositifs connectés via l'adresse MAC peut être contourné par un attaquant. L’agence considère aussi l'utilisation de serveurs centralisés d'autorisation, d'authentification et de gestion des comptes (AAA), comme une mesure de sécurité forte. En effet, selon la NSA, cet usage facilite le passage de technologies d'authentification traditionnelles potentiellement vulnérables, car elles ne reposent pas sur les informations d'identification stockées sur les appareils connectés, potentiellement faciles à compromettre. « Le doublement du déploiement de serveurs AAA - qui gèrent les demandes de ressources système - assure un niveau de redondance et contribue à détecter et à prévenir plus facilement les activités malveillantes », indique encore l'agence dans son rapport.
Pour assurer la sécurité des réseaux d'entreprise, l’agence recommande aussi l’usage de techniques de journalisation robustes. Selon la NSA, « le fait de s'assurer que l'infrastructure réseau capture une quantité suffisante de données de journalisation rend l'identification et le suivi d'une attaque potentielle beaucoup plus simple qu'elle ne le serait autrement ». Les tentatives de connexion, réussies ou non, sont particulièrement importantes à cet égard, mais l'agence fait remarquer que la génération d'un trop grand nombre de messages pourrait compliquer l'examen des journaux. Le rapport de la NSA, disponible au téléchargement, explique de manière détaillée aux utilisateurs de Cisco IOS comment appliquer la majorité des recommandations qu'il suggère, mais les principes généraux sont valables pour les utilisateurs d’équipements réseau de n'importe quel fournisseur.
Commentaire