Table Ronde Protection contre les «instabilités» : virus, piratages, des postes nomades Mercredi 13 octobre 2004 Animatrice : Marie-Claude QUIDOZ Journée «réseau sans fil» 1
Une architecture à base de Vlans recherche services Internet enseignement oui services pédagogiques oui clients Étudiants clients «filaire» «sans fil» oui Internet s Étudiants Journée «réseau sans fil» 2
Un Vlan spécifique Les utilisateurs Ce sont des nomades Qui vont gérer eux-mêmes leurs machines Et qui vont installer le système d exploitation de leur choix Des points positifs Population définie et homogène Poste uniquement client Les risques ne sont pas spécifiques Propager les virus à l extérieur de son Vlan et/ou à l intérieur Pirater les machines non sécurisées Écouter le trafic Créer des dénis de service Mais les solutions peuvent l être Charte de l établissement Moyen (logiciel et humain) affecté à la sécurité de ce Vlan Journée «réseau sans fil» 3
Exemple de deux solutions extrêmes Solution «idéale» mais irréaliste Droit d intervention directe Type «centralisé» Administration centralisée - système d exploitation - antivirus - garde-barrière - Vérification interne du niveau de sécurité de chaque poste : - correctif, signature, - à distance avec nessus 2.1.3 Déconnexion «automatique» de la machine ne respectant pas la charte Solution «raisonnable»* Pas de droit d intervention Type «personnel» Obligation de recommandation Conseil Sensibilisation Diffusion d information Mise à disposition de correctifs, Vérification externe du niveau de sécurité : - des ports ouverts de chaque poste - du trafic réseau Simple avertissement aux utilisateurs ne respectant pas la charte * Informaticien en charge de la sécurité de ce Vlan Journée «réseau sans fil» 4
Que faire si on n a n a pas de droit d intervention d? Obliger une machine à passer par un sas de décontamination Solution idéale en théorie, mais en pratique, comment faire? Diminuer la nuisance d une machine infectée en limitant ses communications IntraVlan : Mise en place d une architecture interdisant la communication entre les nomades Solution plaisante en théorie, mais en pratique est-ce possible à mettre en place? Internet : Mise à jour des ACL automatiquement pour interdire la communication «InterVlan» Solution «partielle» - le nomade continue à infecter son Vlan Ces solutions nécessitent un mécanisme pour détecter les machines infectées et un mécanisme pour prévenir et informer l utilisateur Journée «réseau sans fil» 5
Moyen de détection d actif Principe : «Scan» à distance d un poste de travail et cela de façon périodique Inconvénients : Augmentation de la charge de travail (temps d analyse des résultats) Vérification non en continu Détection uniquement des virus et incidents qui ouvrent des ports Avantages : Détection des services ouverts sur une machine Pas de client à installer sur un poste Conseil : Respect de la législation en vigueur Attention à ne pas mettre en erreur la machine testée Veillez au bon paramétrage du logiciel (/garde-barrière) Exemples : Nmap, Nessus... Journée «réseau sans fil» 6
Moyen de détection d passif Principe : Analyse des fichiers de trace Inspection du trafic réseau à la recherche de signatures connues Inconvénients : Augmentation de la charge de travail (temps d analyse des résultats) Base de signature & faux positifs / faux négatifs Détecte uniquement les virus qui envoient du trafic sur le réseau Pas d action idéale et/ou automatisée en réponse Avantages : Pas de client à installer sur un poste Détecte une machine infectée dès sa connexion Conseil : Respect de la législation en vigueur Sélectionner avec précision les alertes à remonter Exemple : Snort Journée «réseau sans fil» 7
Le débat est ouvert Journée «réseau sans fil» 8