Version control please always check if you re using the latest version Doc. Ref. : isms.038.wlan

Transcription

1 ISMS (Information Security Management System) (Limité à Wi-Fi) 2009 Version control please always check if you re using the latest version Doc. Ref. : isms.038.wlan Release Status Date Written by Approved by FR_1.0 Proposition pour les institutions de sécurité sociale 24/06/2009 Pol Petit Approuvé par le groupe de travail Sécurité de l information ce 24/06/2009 Remarque : Ce document intègre les remarques d un groupe de travail auquel ont participé messieurs Bochart (BCSS), Costrop (Smals), De Vuyst (BCSS), Petit (FMP), Quewet (SPF Santé publique), Symons (ONEm), Vandergoten (INAMI) et Vertongen (ONSS). Ce document est la propriété de la Banque Carrefour de la sécurité sociale. La publication de ce document ne préjudicie nullement aux droits de la Banque Carrefour de la sécurité sociale à l'égard de ce document. Le contenu de ce document peut être diffusé librement à des fins non commerciales à condition de mentionner la source (Banque Carrefour de la sécurité sociale, La diffusion éventuelle à des fins commerciales doit faire l objet d une autorisation écrite préalable de la part de la Banque Carrefour de la sécurité sociale. P 1

2 Table des matières ISMS... 1 (INFORMATION SECURITY MANAGEMENT SYSTEM) INTRODUCTION DEFINITIONS PORTEES LES MESURES DE BASE ARCHITECTURE ET IMPLANTATION L'ARCHITECTURE DES RESEAUX INTERNES SANS FIL L'IMPLANTATION DE RESEAUX INTERNES SANS FIL INTERCONNECTES AVEC LES RESEAUX INTERNES L'IMPLANTATION DE RÉSEAUX INTERNES «SANS FIL» NON INTERCONNECTÉS L'IMPLANTATION DE RESEAUX HOTSPOT LA SÉCURITÉ PHYSIQUE LA CONTINUITE ORGANISATION, ROLES ET RESPONSABILITES L'UTILISATION DE RESEAUX SANS FIL AU MOYEN D UNE STATION DE TRAVAIL DE L INSTITUTION L'UTILISATION DE RESEAUX SANS FIL WI-FI AU MOYEN DE STATION DE TRAVAIL N APPARTENANT PAS A L INSTITUTION L'ADMINISTRATION DE RESEAUX SANS FIL AUDIT DES RESEAUX SANS FIL LA LEGALITE ET LA CONFORMITE P 2

3 1 Introduction 1 Les réseaux sans fils ne se limitent bien entendu pas au Wi-Fi; d'autres technologies vont permettre des accès sans fil au système d'information. Ces solutions répondent à un besoin réel et auront, à ce titre, un développement important dans les années, voire les mois, à venir. La plupart des équipements mobiles neufs (téléphone, PDA, PC portable, etc ) comportent nativement au moins une technologie afin d accéder à un ou plusieurs réseaux sans fil. Avant tout développement ultérieur, il est nécessaire de définir les termes employés dans cette politique de sécurité afin que l utilisation de termes précis n entraine pas la confusion et la non application au vu de sa complexité. Le niveau de sécurité obtenu par cette politique de sécurité relative au réseau «sans fils» doit être au minimum égal au niveau de sécurité obtenu par les mesures de sécurité relatives aux connexions filaires et stations de travails. 1.1 Définitions Le terme de «sans fil» regroupe de nombreuses technologies et solutions. Il s'agit de toutes les technologies permettant un nomadisme de l'utilisateur du système d'information. Le regroupement de technologies, le plus couramment utilisé est basé sur la distance maximale d'émission de la solution. Dès lors on peut distinguer les notions suivantes : (Wireless Local Area Network), qui regroupe les technologies ayant une portée de l ordre de la centaine de mètres voire du kilomètre. La technologie la plus marquante est le Wi-Fi basée sur la norme IEEE b ; WWAN, (Wireless Wide Area Network), qui regroupe les technologies permettant un accès sans fil sur l'ensemble d'un pays voire sur plusieurs pays. La technologie la plus marquante est le GPRS, qui devrait être remplacée à terme par l UMTS; WPAN (Wireless Personnal Area Network) qui regroupe les technologies ayant une, faible portée (de l'ordre d une dizaine de mètres). La technologie la plus marquante dans ce domaine est la technologie Bluetooth basée sur la norme IEEE De nombreux périphériques sans fil l utilisent (souris, clavier, oreillette-micro ) ; WMAN (Wireless Metropolitan Area Network), également appelé «boucle locale radio» (BLR) qui regroupe les technologies ayant une portée de quelques kilomètres. La technologie la plus souvent employée respecte la norme IEEE Néanmoins d autre termes vont être utilisé dans ce document et nécessite donc une définition claire et précise. Les notions suivantes vont être abordées : Réseau «sans fil» Ce terme indique un ensemble d'équipements informatiques connectés entre eux par ondes radio. Wi-Fi. La marque déposée «Wi-Fi» correspond initialement au nom donné à la certification délivrée par la WECA («Wireless Ethernet Compatibility Alliance»), 1 Source : DUNOD «Référentiel Protection des systèmes d information», 10 pages de la section (exemple de politique de sécurité WiFi). Avec l autorisation de l éditeur. Le texte original a été adapté pour répondre aux spécificités de la Sécurité Sociale belge P 3

4 organisme ayant pour mission de spécifier l interopérabilité entre les matériels répondant à la norme et de vendre le label «Wi-Fi» aux matériels répondant à leurs spécifications. Par abus de langage (et pour des raisons de marketing) le nom de la norme se confond aujourd hui avec le nom de la certification. Hotspot. Il s'agit d'un lieu public à forte affluence et clairement délimité (café, hôtel, gare, etc.) qui donne accès à un réseau sans fil permettant aux utilisateurs de terminaux mobiles de se connecter facilement à Internet. Réseau collaboratif. Un réseau collaboratif, également nommé "peer to peer", possède une structure dynamique qui ne nécessite aucune infrastructure préalable. Une collaboration est nécessaire entre tous les membres du réseau afin que chacun puisse assurer les fonctions de point d'accès. Ce type de réseau répond généralement à un besoin local et éphémère. Réseaux internes sans fil. Cette notion fait référence à la mise en place d un réseau sans fil qui est soit connecté au réseau interne de l institution dont les modalités sont décrites au chapitre 2 et on parlera alors d un réseau interne «sans fil» interconnecté par opposition à la notion de réseau interne «sans fil» non interconnecté qui quant à lui est un réseau sans fil permettant l accès facile à l Internet sans être connecté au réseau interne de l institution. 1.2 Portée La portée de cette police est limitée aux aspects des s et donc à la norme IEEE Le déploiement à grande échelle de technologies sans fil fait peser de nouvelles menaces qui dépendent de l'usage fait de ces technologies. Il peut s'agir: de l'extension d'un réseau d'une institution; de la mise en place de pont sans fil entre des sites; de l'accès au réseau de l'institution au travers d'un hotspot ou de Wi-Fi au domicile de l'usager. L'un des principaux risques est la prise de contrôle du poste de l'utilisateur et des données qu'il contient. Dans certains cas, un rebond vers le réseau interne des entités du groupe est réalisable. Les réseaux sans fil sont également fortement soumis aux attaques en déni de service. L'enjeu associé à ces risques est multiple. Il peut s'agir: d'un enjeu lié au système d'information lui-même. Le fonctionnement du système d'information peut être altéré lors de l'agression. Celle-ci peut entraîner des arrêts et des dysfonctionnements au niveau des applications et de l'infrastructure. Les impacts peuvent être rapidement importants, en particulier pour remettre le système d'information en état de fonctionnement nominal; d'un enjeu lié aux données consultées ou modifiées. Les attaques peuvent permettre d'accéder à des données stockées sur le poste de l'utilisateur mais également sur des machines accessibles via rebond. Ces données peuvent alors être consultées voire modifiées. Les impacts sont liés à l'importance des données et à la capacité de les régénérer si elles ont été modifiées; d'un enjeu lié aux autres actions réalisées par l'agresseur. L'infrastructure réseau accédée grâce au réseau sans fil peut être utilisée pour attaquer des tiers, soit au travers d'un accès sortant vers Internet, soit au travers de liaisons avec des partenaires. Elle peut également être utilisée pour accéder à, et pour diffuser, des contenus illicites définis par l institution (sites pornographiques, pédophiles... ). Les impacts peuvent être alors juridiques si la société distante porte plainte ou si l'accès P 4

5 vers les sites illégaux a été tracé. Ils peuvent également générer une atteinte à l'image de marque de l institution. Cette politique de sécurité présente les règles devant être respectées par tous pour garantir que de tels impacts ne puissent se produire au sein du système d'information de l institution. 1.3 Les mesures de base Le respect des règles de la présente politique est obligatoire et vérifié périodiquement. Par défaut la mise en place et l'utilisation d'un réseau sans fil n'est pas autorisée. Néanmoins, une demande complète et justifiée ayant reçu préalablement l avis positif écrit du conseiller en sécurité va permettre cette implémentation. Un réseau sans fil ne peut être mis en place sans un niveau de sécurité adapté à son utilisation. 2 Architecture et implantation. 2.1 L'architecture des réseaux internes sans fil La configuration des réseaux sans fil doit être documentée et consignée dans un document sécurisé. Les réseaux sans fil ne sont pas connectés aux réseaux filaires ou, s'ils le sont, ils le sont au travers de dispositifs adéquats assurant la sécurité des échanges entre le réseau sans fil et le réseau filaire. L'accès aux réseaux sans fil n'est autorisé qu'après une identification du système client en fonction des catégories mentionnées ci-dessous. Il est impératif d empêcher une station de travail d acter comme passerelle ( bridge ) entre un réseau sans fil et un réseau filaire. Il est nécessaire de mettre en place des dispositions afin de limiter les risques. Ces risques sont par exemple : l'existence de points d'accès non prévus; l'existence de réseaux collaboratifs ; l'existence de postes client recherchant des points d'accès; l'existence de logiciels d attaque de réseaux sans fil 2.2 L'implantation de réseaux internes sans fil interconnectés avec les réseaux internes Une étude de risques et d'impact, dont le résultat est fourni au Conseiller en sécurité est effectuée avant toute mise en place d'un réseau interconnecté avec les réseaux locaux internes. La mise en place d'un réseau interconnecté avec les réseaux locaux internes donne lieu à une étude de portée pour limiter au maximum la portée du réseau. La puissance d'émission des points d'accès et des cartes Wi-Fi est limitée au strict minimum. Le niveau de sécurité de ce réseau «sans fils» doit être au minimum égal au niveau de sécurité des réseaux filaires auquel ce réseau «sans fil» est interconnecté. P 5

6 Les usagers des réseaux sans fil interconnectés ont été sensibilisés à l'usage de ces réseaux et aux règles qu'ils doivent respecter. L identifiant du réseau (SSID) des réseaux sans fil interconnectés ne permet pas d'identifier le propriétaire du réseau. Le caractère privatif du réseau est mentionné au sein du SSID. Les points d'accès d'un réseau sans fil interconnecté sont configurés pour n'accepter que les postes présentant le bon SSID. Les points d'accès d'un réseau sans fil interconnecté ne diffusent pas leur SSID. L'accès au réseau sans fil interconnecté est soumis à une identification/authentification des machines et une identification/authentification non rejouable des utilisateurs (ex. via serveur «Radius») qui s y connectent. Ces authentifications sont protégées pendant leur transfert au sein du réseau sans fil. Avant toute autre interaction, le poste client s'assure de l'identité du réseau sans fil. Tous les échanges réalisés au travers d'un réseau sans fil interconnecté sont chiffrés selon un protocole connu comme résistant. Le réseau sans fil interconnecté est relié au réseau interne au travers d'une interconnexion sécurisée. Tous les échanges réalisés au travers d'un réseau sans fil interconnecté doivent pouvoir être tracés à la demande dans le respect de la législation et des règlements en vigueur. Toute tentative d'accès au réseau sans fil donne lieu à un événement de sécurité. La trace de ce type d'événement sera tenue à la disposition du conseiller en sécurité. 2.3 L'implantation de réseaux internes «sans fil» non interconnectés La mise en place d'un réseau interne sans fil non interconnecté spécifique sans authentification est autorisée pour donner un accès Internet aux prestataires externes. La mise en place de ce réseau donne lieu à une étude de portée pour limiter au maximum la portée du réseau. Ce réseau interne sans fil non interconnecté doit être complètementt dissocié des réseaux filaires internes. Il ne doit véhiculer que des données professionnelles liées aux prestataires qui l'utilisent dans le cadre de la finalité recherchée. Le réseau interne sans fil non interconnecté ne doit pas pouvoir être utilisé à partir de postes ayant simultanément un accès filaire vers le réseau interne. Si nécessaire, ce réseau doit permettre de cloisonner les flux de données entre les machines qui s'y connectent. Les usagers des réseaux internes sans fil non interconnectés ont été sensibilisés à l'usage de ces réseaux et aux règles qu'ils doivent respecter. Le SSID du réseau interne sans fil non interconnecté ne permet pas d identifier le propriétaire du réseau. Les points d'accès sont configurés pour n'accepter que les postes présentant le bon SSID. Les points d'accès ne diffusent pas leur SSID. Tous les échanges réalisés au travers de ce réseau doivent pouvoir être tracés à la demande dans le respect de la législation et des règlements en vigueur. P 6

7 Il est recommandé que la passerelle d'interconnexion du réseau interne sans fil non interconnecté vers Internet intègre un contrôle de contenu et n'autorise que le transit de données dans le respect de la législation et des règlements en vigueur. 2.4 L'implantation de réseaux hotspot La mise en place d'un réseau hotspot spécifique sans sécurité est autorisée pour donner un accès Internet au public de l institution. La mise en place d'un réseau hotspot donne lieu à une étude de portée afin de bien délimiter la porté de ce réseau hotspot. Le réseau hotspot doit être complètement dissocié des réseaux filaires internes. Le réseau hotspot ne doit pas pouvoir être utilisé à partir de postes ayant simultanément un accès filaire vers le réseau interne. Le SSID du réseau hotspot ne permet pas d identifier l'appartenance du réseau. Les points d'accès sont configurés pour n'accepter que les postes présentant le bon SSID. Tous les échanges réalisés au travers du hotspot doivent pouvoir être tracés à la demande dans le respect de la législation et des règlements en vigueur. Il est recommandé que la passerelle d'interconnexion du réseau hotspot vers Internet intègre un contrôle de contenu et n'autorise que le transit de données dans le respect de la législation et des règlements en vigueur. 2.5 La Sécurité Physique Les points d'accès sont situés en hauteur, hors de portée du public. Si nécessaire, ils sont enfermés et seule l'antenne est située à l'extérieur. Les points d'accès sont, dans la mesure du possible, peu visibles. 3 La continuité Le plan de reprise d'activité et le plan de secours informatique de l'institution intègrent les réseaux sans fil en fonction de leur niveau de criticité. 4 Organisation, rôles et responsabilités La mise en place de réseaux sans fil est du ressort de la direction en charge des ressources réseau et télécoms. L'exploitation et l'administration de ces réseaux sont confiées à cette même direction. L'ensemble des opérations menées doivent respecter les règles de la présente politique. La mise en place de réseaux sans fil est soumise à un avis positif écrit du conseiller en sécurité tel décrit dans la section 1.3. Tous les réseaux sans fil doivent être déclarés; une liste exhaustive de ces réseaux doit être tenue à jour par la direction en charge des ressources réseau et télécoms et mise à la disposition du conseiller en sécurité. P 7

8 Cette liste doit contenir la description du réseau, l'utilisation et les risques associés, les mécanismes de sécurité mis en œuvre, les schémas d'architecture, l'implantation géographique des points d'accès... Le conseiller en sécurité a toute latitude pour réaliser des contrôles du respect des règles contenues dans la présente politique de sécurité. Un dispositif de contrôle du respect des règles doit être mis en place sous la responsabilité du conseiller en sécurité. En cas de sous-traitance de tout ou partie du réseau sans fil, l'opérateur de ce réseau doit disposer des présentes règles et s'engager contractuellement à les respecter. Cette délégation est soumise à l'accord du conseiller en sécurité. Toute modification des présentes règles est soumise à l'accord du conseiller en sécurité. 4.1 L'utilisation de réseaux sans fil au moyen d une station de travail de l institution. L'utilisation d'un réseau sans fil à partir d'un poste de travail de l'institution est soumise à autorisation. L utilisation d un réseau sans fil par une machine de l institution n est autorisée qu à partir du moment où celle-ci a été configurée à cet usage par les services compétents. Les réseaux sans fil mis à disposition du personnel doivent être utilisés en accord avec la charte d'utilisation des moyens informatiques en vigueur. La mise en place de réseaux sans fil collaboratifs (peer to peer ou ad hoc) est interdite dans l'enceinte de l'institution. Aucun réseau sans fil ne doit être activé si le poste de travail est connecté au réseau local filaire classique de l'institution. Tout accès sans fil utilisé dans un cadre non professionnel et/ou à l'extérieur de l'institution doit être inactivé dès l'entrée sur le site de l'institution. L'utilisation d'un hotspot ou de réseau sans fil à domicile n'est autorisée qu'à partir des machines de l'institution configurées pour cet usage. Les mesures de sécurité mises en place sur les postes de travail pour les protéger en cas d'utilisation de réseau sans fil ne doivent pas être inactivées (personal firewall, anti-virus, installation automatique des patchs... ). 4.2 L'utilisation de réseaux sans fil Wi-Fi au moyen de station de travail n appartenant pas à l institution Tout accès sans fil utilisé dans un cadre non professionnel et/ou à l'extérieur de l'institution doit être inactivé dès l'entrée sur le site de l'institution. Le poste de travail externe ne peut pas être connecté au réseau sans fil interconnecté au réseau de l institution sauf dérogation spécifique validée par le conseiller en sécurité. Un réseau interne sans fil non interconnecté spécifique est éventuellement mis à disposition des prestataires externes. Il leur permet d'accéder au monde de l Internet. Les mesures de sécurité nécessaires à la protection du poste de travail et des échanges réalisés par le prestataire externe sont du ressort du prestataire. L'usage du réseau interne sans fil non interconnecté est aux risques et périls du prestataire. Les réseaux sans fil mis à disposition des prestataires externes ne doivent être utilisés que pour des usages professionnels. P 8

9 Tous les échanges réalisés au travers des réseaux sans fil mis à disposition des prestataires sont tracés et l'institution se réserve le droit d'utiliser ces traces en cas de conflit relatif à l'usage des liaisons sans fil en conformité avec la législation. L'institution se réserve le droit de mettre en place toutes les mesures de protection lui paraissant nécessaires sur les réseaux sans fil mis à disposition des prestataires externes 5 L'administration de réseaux sans fil. Tous les réseaux sans fil sont administrés par au moins deux administrateurs nommés à cette fonction. L'administrateur et son suppléant sont garants du respect des règles de la présente politique pour le réseau sans fil dont ils ont la charge. Les fonctions d'administration nécessitent une identification/authentification. L'authentifiant est dans la mesure du possible un authentifiant fort. Si cela n'est pas possible, il est partagé uniquement entre les administrateurs du réseau sans fil à l'exclusion de toute autre personne. Les identifiants/authentifiants utilisés pour administrer les machines et composants réseau sans fil ne sont pas les mêmes que ceux utilisés dans le cadre des réseaux internes. Aucune fonction d'administration n'est réalisée au travers du réseau sans fil. Ces fonctions sont réalisées au travers du réseau filaire auquel sont reliés les points d'accès. Cette administration est spécifique au réseau interne sans fil non interconnecté et réseau hotspot, et n'est pas interfacée avec l'administration du réseau interne ou des réseaux sans fil sécurisés. Seules les stations d'administration allouées à ces administrateurs du réseau ont un accès permettant la gestion du réseau sans fil. L'accès à une fonction d'administration des points d'accès donne lieu à la création d'un événement de sécurité. La trace des événements de sécurité est tenue à la disposition du conseiller en sécurité. Dans le cadre de l administration à distance, seuls des protocoles sécurisés sont admis pour administrer les points d'accès. Ces protocoles doivent protéger l'identification/authentification et la confidentialité des échanges. Des protocoles comme SSH ou HTTPS répondent à cette règle. Les protocoles non sécurisés (SNMP, Telnet, HTTP, TFTP, FTP... ) sont inactivés et leur utilisation est interdite (sauf pour le port «console» si nécessaire). Les données de configuration des équipements des réseaux sans fil sont sauvegardées périodiquement. Les contrôles d identification/authentification des utilisateurs et des machines qui se connectent doivent être revus en fonction des failles de sécurité détectées. Soit les comptes et mots de passe par défaut des équipements sont inactivés, soit les mots de passe sont modifiés. Si l'authentification forte n'est pas mise en place, les mots de passe d'accès aux équipements sont régulièrement changés. Les mots de passe utilisés, non triviaux, ne sont diffusés qu'aux administrateurs en titre du réseau sans fil. Leurs modifications périodiques sont inscrites dans les procédures d'exploitation du réseau sans fil. Les authentifiants doivent être changés dans tous les cas où ils ont été divulgués au-delà du périmètre des administrateurs (changement de sous-traitants, intervention de maintenance... ). Les traces et logs issus des outils et dispositifs doivent être archivés. Les composants des réseaux sans fil font l'objet d'une maintenance, si le niveau de criticité l exige. Une veille technologique est réalisée. Les correctifs de sécurité sont installés périodiquement sur l'ensemble des machines utilisées pour le réseau sans fil y compris les points d'accès. P 9

10 6 Audit des réseaux sans fil Un audit de sécurité des réseaux sans fil est réalisé périodiquement. En plus, un contrôle régulier de détection des réseaux sans fil non conformes est mis en place. Ce contrôle devrait permettre de s assurer de : l'inexistence de points d'accès non prévus; l'inexistence de réseaux collaboratifs ; l'inexistence de postes client recherchant des points d'accès; l'inexistence de logiciels d attaque de réseaux sans fil. 7 La légalité et la conformité Les cartes et les points d'accès utilisés dans le cadre des réseaux sans fil sont conformes aux dispositions légales et réglementaires en vigueur. L'audit du réseau, la collecte et l'exploitation des informations de traces respectent la législation et les réglementations en vigueur (notamment issues de la CPVP). P 10