Recherche de site Web

LFCA : Comment améliorer la sécurité du réseau Linux – Partie 19

Dans un monde toujours connecté, la sécurité des réseaux devient de plus en plus l’un des domaines dans lesquels les organisations investissent beaucoup de temps et de ressources. En effet, le réseau d’une entreprise constitue l’épine dorsale de toute infrastructure informatique et connecte tous les serveurs et périphériques réseau. Si le réseau est piraté, l’organisation sera pratiquement à la merci des pirates. Des données cruciales peuvent être exfiltrées et des services et applications centrés sur l’entreprise peuvent être supprimés.

La sécurité des réseaux est un sujet assez vaste et nécessite généralement une approche à deux volets. Les administrateurs réseau installent généralement des dispositifs de sécurité réseau tels que des pare-feu, des IDS (systèmes de détection d'intrusion) et des IPS (systèmes de prévention des intrusions) comme première ligne de défense. Bien que cela puisse fournir une couche de sécurité décente, certaines mesures supplémentaires doivent être prises au niveau du système d'exploitation pour éviter toute violation.

À ce stade, vous devriez déjà être familier avec les concepts de mise en réseau tels que l'adressage IP et les services et protocoles TCP/IP. Vous devez également être au courant des concepts de sécurité de base tels que la configuration de mots de passe forts et la configuration d'un pare-feu.

Avant d’aborder les différentes étapes pour garantir la sécurité de votre système, commençons par un aperçu de certaines des menaces réseau courantes.

Qu’est-ce qu’une attaque réseau ?

Un réseau d'entreprise vaste et assez complexe peut s'appuyer sur plusieurs points de terminaison connectés pour prendre en charge les opérations commerciales. Bien que cela puisse fournir la connectivité requise pour rationaliser les flux de travail, cela pose un défi de sécurité. Une plus grande flexibilité se traduit par un paysage de menaces plus large que l'attaquant peut exploiter pour lancer une attaque réseau.

Alors, qu’est-ce qu’une attaque réseau ?

Une attaque réseau est un accès non autorisé au réseau d’une organisation dans le seul but d’accéder à des données, de les voler et d’effectuer d’autres activités néfastes telles que la dégradation de sites Web et la corruption d’applications.

Il existe deux grandes catégories d'attaques réseau.

  • Attaque passive : lors d'une attaque passive, le pirate informatique obtient un accès non autorisé uniquement pour espionner et voler des données sans les modifier ni les corrompre.
  • Attaque active : ici, l'attaquant non seulement infiltre le réseau pour voler des données, mais modifie, supprime, corrompt ou chiffre également les données, écrase les applications et fait tomber les services en cours d'exécution. Il s’agit certes de la plus dévastatrice des deux attaques.

Types d'attaques réseau

Passons en revue certaines des attaques réseau courantes qui peuvent compromettre votre système Linux :

1. Vulnérabilités logicielles

L’exécution de versions logicielles anciennes et obsolètes peut facilement mettre votre système en danger, et cela est en grande partie dû aux vulnérabilités inhérentes et aux portes dérobées qui s’y cachent. Dans le sujet précédent sur la sécurité des données, nous avons vu comment une vulnérabilité sur le portail de réclamations clients d'Equifax a été exploitée par des pirates informatiques et a conduit à l'une des violations de données les plus tristement célèbres.

C’est pour cette raison qu’il est toujours conseillé d’appliquer constamment des correctifs logiciels en mettant à niveau vos applications logicielles vers les dernières versions.

2. L’homme du milieu attaque

L'attaque de l'homme du milieu, communément abrégée en MITM, est une attaque dans laquelle un attaquant intercepte la communication entre l'utilisateur et l'application ou le point de terminaison. En se positionnant entre un utilisateur légitime et l'application, l'attaquant est capable de supprimer le cryptage et d'écouter les communications envoyées vers et depuis. Cela lui permet de récupérer des informations confidentielles telles que les identifiants de connexion et d'autres informations personnellement identifiables.

Les cibles probables d'une telle attaque incluent les sites de commerce électronique, les entreprises SaaS et les applications financières. Pour lancer de telles attaques, les pirates utilisent des outils de détection de paquets qui capturent les paquets provenant d'appareils sans fil. Le pirate informatique procède ensuite à l’injection de code malveillant dans les paquets échangés.

3. Logiciels malveillants

Les logiciels malveillants sont un ensemble de logiciels malveillants et comprennent un large éventail d'applications malveillantes telles que des virus, des chevaux de Troie, des logiciels espions et des ransomwares, pour n'en citer que quelques-uns. Une fois à l’intérieur d’un réseau, les logiciels malveillants se propagent sur divers appareils et serveurs.

Selon le type de malware, les conséquences peuvent être dévastatrices. Les virus et les logiciels espions ont la capacité d'espionner, de voler et d'exfiltrer des données hautement confidentielles, de corrompre ou de supprimer des fichiers, de ralentir le réseau et même de pirater des applications. Le ransomware crypte les fichiers, les rendant ainsi inaccessibles à moins que la victime ne se sépare d'un montant substantiel en rançon.

4. Attaques par déni de service distribué (DDoS)

Une attaque DDoS est une attaque dans laquelle un utilisateur malveillant rend un système cible inaccessible et, ce faisant, empêche les utilisateurs d'accéder à des services et applications cruciaux. L'attaquant y parvient en utilisant des botnets pour inonder le système cible d'énormes volumes de paquets SYN, ce qui le rend finalement inaccessible pendant un certain temps. Les attaques DDoS peuvent détruire des bases de données ainsi que des sites Web.

5. Menaces internes/Employés malveillants

Les employés mécontents disposant d'un accès privilégié peuvent facilement compromettre les systèmes. De telles attaques sont généralement difficiles à détecter et à protéger puisque les employés n’ont pas besoin d’infiltrer le réseau. De plus, certains employés peuvent involontairement infecter le réseau avec des logiciels malveillants lorsqu'ils connectent des périphériques USB contenant des logiciels malveillants.

Atténuation des attaques réseau

Examinons quelques mesures que vous pouvez prendre pour ériger une barrière qui offrira un degré considérable de sécurité afin d’atténuer les attaques réseau.

1. Gardez les applications logicielles à jour

Au niveau du système d'exploitation, la mise à jour de vos logiciels corrigera toutes les vulnérabilités existantes susceptibles d'exposer votre système à des exploits lancés par des pirates.

Implémenter un pare-feu basé sur l'hôte

Outre les pare-feu réseau qui constituent généralement la première ligne de défense contre les intrusions, vous pouvez également implémenter un pare-feu basé sur l'hôte, tel que le pare-feu Firewalld et le pare-feu UFW. Il s'agit d'applications de pare-feu simples mais efficaces qui fournissent une couche de sécurité supplémentaire en filtrant le trafic réseau en fonction d'un ensemble de règles.

3. Désactivez les services dont vous n’avez pas besoin

Si vous disposez de services en cours d’exécution qui ne sont pas activement utilisés, désactivez-les. Cela permet de minimiser la surface d’attaque et laisse à l’attaquant un minimum d’options pour exploiter et trouver des failles.

Dans la même ligne, vous utilisez un outil d'analyse réseau tel que Nmap pour analyser et rechercher tous les ports ouverts. Si des ports inutiles sont ouverts, pensez à les bloquer sur le pare-feu.

4. Configurer les wrappers TCP

Les wrappers TCP sont des ACL (Access Control Lists) basées sur l'hôte qui restreignent l'accès aux services réseau en fonction d'un ensemble de règles telles que les adresses IP. Les wrappers TCP font référence aux fichiers hôtes suivants pour déterminer où un client se verra accorder ou refuser l'accès à un service réseau.

  • /etc/hosts.allow
  • /etc/hosts.deny

Quelques points à noter :

  1. Les règles se lisent de haut en bas. La première règle de correspondance pour un service donné s'applique en premier. Notez que l’ordre est extrêmement crucial.
  2. Les règles du fichier /etc/hosts.allow sont appliquées en premier et ont priorité sur la règle définie dans le fichier /etc/hosts.deny. Cela implique que si l'accès à un service réseau est autorisé dans le fichier /etc/hosts.allow, refuser l'accès au même service dans le fichier /etc/hosts.deny sera négligé ou ignoré.
  3. Si les règles de service n'existent dans aucun des fichiers hôtes, l'accès au service est accordé par défaut.
  4. Les modifications apportées aux deux fichiers hôtes sont mises en œuvre immédiatement sans redémarrer les services.

5. Sécurisez les protocoles distants et utilisez un VPN

Dans nos rubriques précédentes, nous avons examiné comment sécuriser le protocole SSH pour dissuader les utilisateurs malveillants d'accéder à votre système. L'utilisation d'un VPN pour lancer un accès à distance au serveur Linux, en particulier sur un réseau public, est tout aussi importante. Un VPN crypte toutes les données échangées entre le serveur et les hôtes distants, ce qui élimine les risques d'écoute clandestine de la communication.

6. Surveillance du réseau 24 heures sur 24

La surveillance de votre infrastructure avec des outils tels que WireShark vous aidera à surveiller et inspecter le trafic à la recherche de paquets de données malveillants. Vous pouvez également implémenter fail2ban pour sécuriser votre serveur contre les attaques par force brute.

7. Installez le logiciel anti-programme malveillant

Linux devient de plus en plus une cible pour les pirates informatiques en raison de sa popularité et de son utilisation croissante. En tant que tel, il est prudent d’installer des outils de sécurité pour analyser le système à la recherche de rootkits, de virus, de chevaux de Troie et de tout type de malware.

Il existe des solutions open source populaires telles que ClamAV qui sont efficaces pour détecter les logiciels malveillants. Vous pouvez également envisager d'installer chkrootkit pour rechercher tout signe de rootkits sur votre système.

8. Segmentation du réseau

Pensez à segmenter votre réseau en VLAN (réseaux locaux virtuels). Cela se fait en créant des sous-réseaux sur le même réseau qui agissent comme des réseaux autonomes. La segmentation de votre réseau contribue grandement à limiter l'impact d'une violation à une zone et rend beaucoup plus difficile l'accès des pirates informatiques à travers d'autres sous-réseaux.

9. Cryptage des appareils sans fil

Si vous disposez de routeurs ou de points d'accès sans fil sur votre réseau, assurez-vous qu'ils utilisent les dernières technologies de cryptage pour minimiser les risques d'attaques de l'homme du milieu.

Résumé

La sécurité du réseau est un sujet vaste qui englobe la prise de mesures sur le matériel réseau et également la mise en œuvre de politiques basées sur l'hôte sur le système d'exploitation pour ajouter une couche de protection contre les intrusions. Les mesures décrites contribueront grandement à améliorer la sécurité de votre système contre les vecteurs d'attaque du réseau.