LFCA : Comment améliorer la sécurité du réseau Linux – Partie 19


Dans un monde toujours plus connecté, la sécurité des réseaux devient de plus en plus l'un des domaines dans lesquels les organisations investissent beaucoup de temps et de ressources. En effet, le réseau d'une entreprise est l'épine dorsale de toute infrastructure informatique et connecte tous les serveurs et périphériques réseau. Si le réseau est piraté, l'organisation sera pratiquement à la merci des pirates. Des données cruciales peuvent être exfiltrées et des services et applications centrés sur l'entreprise peuvent être supprimés.

La sécurité du réseau est un sujet assez vaste et adopte généralement une approche à deux volets. Les administrateurs réseau installent généralement des dispositifs de sécurité réseau tels que des pare-feu, IDS (systèmes de détection d'intrusion) et IPS (systèmes de prévention d'intrusion) comme première ligne de défense. Bien que cela puisse fournir une couche de sécurité décente, certaines mesures supplémentaires doivent être prises au niveau du système d'exploitation pour éviter toute violation.

À ce stade, vous devriez déjà être familiarisé avec les concepts de mise en réseau tels que l'adressage IP et les services et protocoles TCP/IP. Vous devez également être au courant des concepts de sécurité de base tels que la configuration de mots de passe forts et la configuration d'un pare-feu.

Avant de couvrir les différentes étapes pour assurer la sécurité de votre système, commençons par avoir un aperçu de certaines des menaces réseau courantes.

Qu'est-ce qu'une attaque réseau ?

Un réseau d'entreprise vaste et assez complexe peut s'appuyer sur plusieurs terminaux connectés pour prendre en charge les opérations commerciales. Bien que cela puisse fournir la connectivité requise pour rationaliser les flux de travail, cela pose un problème de sécurité. Une plus grande flexibilité se traduit par un paysage de menaces plus large que l'attaquant peut exploiter pour lancer une attaque réseau.

Alors, qu'est-ce qu'une attaque réseau ?

Une attaque de réseau est un accès non autorisé au réseau d'une organisation dans le seul but d'accéder et de voler des données et d'effectuer d'autres activités néfastes telles que la dégradation de sites Web et la corruption d'applications.

Il existe deux grandes catégories d'attaques réseau.

  • Attaque passive : lors d'une attaque passive, le pirate obtient un accès non autorisé pour espionner et voler uniquement des données sans les modifier ni les corrompre.
  • Attaque active : ici, l'attaquant non seulement s'infiltre dans le réseau pour voler des données, mais modifie, supprime, corrompt ou crypte également les données et écrase les applications, et arrête les services en cours d'exécution. Certes, c'est la plus dévastatrice des deux attaques.

Types d'attaques réseau

Passons en revue certaines des attaques réseau courantes qui peuvent compromettre votre système Linux :

L'exécution de versions logicielles anciennes et obsolètes peut facilement mettre votre système en danger, en grande partie à cause des vulnérabilités inhérentes et des portes dérobées qui s'y cachent. Dans le sujet précédent sur la sécurité des données, nous avons vu comment une vulnérabilité sur le portail des plaintes des clients d'Equifax a été exploitée par des pirates et a conduit à l'une des violations de données les plus infâmes.

C'est pour cette raison qu'il est toujours conseillé d'appliquer constamment des correctifs logiciels en mettant à niveau vos applications logicielles vers les dernières versions.

Une attaque d'homme au milieu, communément abrégée en MITM, est une attaque où un attaquant intercepte la communication entre l'utilisateur et l'application ou le point de terminaison. En se positionnant entre un utilisateur légitime et l'application, l'attaquant est capable de supprimer le cryptage et d'écouter les communications envoyées vers et depuis. Cela lui permet de récupérer des informations confidentielles telles que les identifiants de connexion et d'autres informations personnellement identifiables.

Les cibles probables d'une telle attaque incluent les sites de commerce électronique, les entreprises SaaS et les applications financières. Pour lancer de telles attaques, les pirates utilisent des outils de reniflage de paquets qui capturent les paquets à partir d'appareils sans fil. Le pirate procède ensuite à l'injection de code malveillant dans les paquets échangés.

Les logiciels malveillants sont un portemanteau de logiciels malveillants et comprennent un large éventail d'applications malveillantes telles que des virus, des chevaux de Troie, des logiciels espions et des logiciels de rançon pour n'en citer que quelques-uns. Une fois à l'intérieur d'un réseau, les logiciels malveillants se propagent sur divers appareils et serveurs.

Selon le type de malware, les conséquences peuvent être dévastatrices. Les virus et les logiciels espions ont la capacité d'espionner, de voler et d'exfiltrer des données hautement confidentielles, de corrompre ou de supprimer des fichiers, de ralentir le réseau et même de détourner des applications. Le rançongiciel crypte les fichiers qui les rendent alors inaccessibles à moins que la victime ne se sépare d'un montant substantiel en rançon.

Une attaque DDoS est une attaque par laquelle l'utilisateur malveillant rend un système cible inaccessible et, ce faisant, empêche les utilisateurs d'accéder à des services et applications cruciaux. L'attaquant accomplit cela en utilisant des botnets pour inonder le système cible d'énormes volumes de paquets SYN qui le rendent finalement inaccessible pendant un certain temps. Les attaques DDoS peuvent faire tomber des bases de données ainsi que des sites Web.

Les employés mécontents disposant d'un accès privilégié peuvent facilement compromettre les systèmes. De telles attaques sont généralement difficiles à détecter et à protéger car les employés n'ont pas besoin d'infiltrer le réseau. De plus, certains employés peuvent involontairement infecter le réseau avec des logiciels malveillants lorsqu'ils branchent des périphériques USB contenant des logiciels malveillants.

Atténuation des attaques réseau

Voyons quelques mesures que vous pouvez prendre pour mettre en place une barrière qui fournira un degré de sécurité considérable pour atténuer les attaques de réseau.

Au niveau du système d'exploitation, la mise à jour de vos packages logiciels corrigera toutes les vulnérabilités existantes susceptibles d'exposer votre système à des exploits lancés par des pirates.

Outre les pare-feu réseau qui fournissent généralement la première ligne de défense contre les intrusions, vous pouvez également implémenter un pare-feu basé sur l'hôte tel que le pare-feu UFW. Il s'agit d'applications de pare-feu simples mais efficaces qui offrent une couche de sécurité supplémentaire en filtrant le trafic réseau en fonction d'un ensemble de règles.

Si vous avez des services en cours d'exécution qui ne sont pas activement utilisés, désactivez-les. Cela aide à minimiser la surface d'attaque et laisse à l'attaquant un minimum d'options pour exploiter et trouver des failles.

Dans la même ligne, vous utilisez un outil d'analyse de réseau tel que Nmap pour analyser et rechercher tous les ports ouverts. Si des ports inutiles sont ouverts, envisagez de les bloquer sur le pare-feu.

Les wrappers TCP sont des ACL (listes de contrôle d'accès) basées sur l'hôte qui restreignent l'accès aux services réseau en fonction d'un ensemble de règles telles que les adresses IP. Les wrappers TCP font référence aux fichiers hôtes suivants pour déterminer où un client se verra accorder ou refuser l'accès à un service réseau.

  • /etc/hosts.allow
  • /etc/hosts.deny

Quelques points à noter :

  1. Les règles sont lues de haut en bas. La première règle de correspondance pour un service donné s'appliquait en premier. Prenez note que la commande est extrêmement cruciale.
  2. Les règles du fichier /etc/hosts.allow sont appliquées en premier et prévalent sur la règle définie dans le fichier /etc/hosts.deny. Cela implique que si l'accès à un service réseau est autorisé dans le fichier /etc/hosts.allow, le refus d'accès au même service dans le fichier /etc/hosts.deny sera négligé ou ignoré.
  3. Si les règles de service n'existent dans aucun des fichiers hôtes, l'accès au service est accordé par défaut.
  4. Les modifications apportées aux deux fichiers hôtes sont mises en œuvre immédiatement sans redémarrer les services.

Dans nos rubriques précédentes, nous avons examiné l'utilisation d'un VPN pour initier un accès à distance au serveur Linux, en particulier sur un réseau public. Un VPN crypte toutes les données échangées entre le serveur et les hôtes distants, ce qui élimine les risques d'écoute clandestine de la communication.

Surveillance de votre infrastructure avec des outils tels que fail2ban pour sécuriser votre serveur contre les attaques par force brute.

[Vous pourriez également aimer : 16 outils de surveillance de la bande passante utiles pour analyser l'utilisation du réseau sous Linux]

Linux devient de plus en plus une cible pour les pirates en raison de sa popularité et de son utilisation croissantes. En tant que tel, il est prudent d'installer des outils de sécurité pour analyser le système à la recherche de rootkits, de virus, de chevaux de Troie et de tout type de malware.

Il existe des solutions open source populaires telles que chkrootkit pour vérifier tout signe de rootkits sur votre système.

Envisagez de segmenter votre réseau en VLAN (réseaux locaux virtuels). Cela se fait en créant des sous-réseaux sur le même réseau qui agissent comme des réseaux autonomes. La segmentation de votre réseau contribue grandement à limiter l'impact d'une violation à une zone et rend beaucoup plus difficile pour les pirates d'accéder à d'autres sous-réseaux.

Si vous avez des routeurs ou des points d'accès sans fil sur votre réseau, assurez-vous qu'ils utilisent les dernières technologies de cryptage pour minimiser les risques d'attaques de l'homme du milieu.

La sécurité du réseau est un vaste sujet qui englobe la prise de mesures sur la section du matériel réseau et également la mise en œuvre de politiques basées sur l'hôte sur le système d'exploitation pour ajouter une couche de protection contre les intrusions. Les mesures décrites contribueront grandement à améliorer la sécurité de votre système contre les vecteurs d'attaque du réseau.