Notes
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Chapitre 3 : sécurité du réseau et renforcement
Paru le 22 novembre 2004
Ce chapitre décrit les vulnérabilités de la sécurité des réseaux et le processus de renforcement des hôtes sur le réseau contre ces vulnérabilités. Il traite de la segmentation du réseau, du renforcement de la pile TCP/IP (Transmission Control Protocol/Internet Protocol) et de l'utilisation de pare-feu personnels pour la protection des hôtes.
Sur cette page
Situation
Conception de la sécurité du réseau
Implémentation
Résumé
Situation
Il arrive souvent que les systèmes anciens attirent l'attention des pirates informatiques car leur existence même sous-entend un niveau élevé de confiance et d'interaction avec des applications internes qui explique d'ailleurs pourquoi ils sont encore utilisés. Lorsque cette valeur potentielle est associée à ce qui est perçu comme une forte vulnérabilité, les systèmes anciens deviennent extrêmement séduisants et constituent une cible de choix.
Lorsque l'on cherche à sécuriser des systèmes anciens, il convient de prendre en considération la place que ces systèmes occupent au sein de votre environnement général. En apportant une grande attention à la conception et à la configuration de tout le réseau, vous pouvez créer des points logiques dans le réseau afin de limiter au maximum le trafic hostile avant qu'il n'atteigne vos systèmes anciens. Ces dispositions complètent les mesures de renforcement spécifiques au système détaillées dans les prochains chapitres.
Généralement, l'expression réseau de périmètre désigne un segment isolé de réseau, au carrefour du réseau d'entreprise et d'Internet. Les services et serveurs qui doivent interagir avec l'univers extérieur non protégé d'Internet sont placés dans ce réseau de périmètre, aussi appelé zone démilitarisée (DMZ) ou sous-réseau filtré. Le choix de cette configuration a pour but d'empêcher des attaquants qui auraient réussi à exploiter les vulnérabilités de ces services exposés de pénétrer plus profondément dans le réseau interne de confiance. Un moyen d'offrir une protection renforcée à l'intégralité du réseau consiste à traiter les systèmes anciens comme l'est le réseau de périmètre, c'est-à-dire à les isoler des autres hôtes du réseau en les plaçant dans leurs propres segments du réseau. Cette approche présente deux avantages : elle limite le risque de voir un système ancien compromis affecter le reste du réseau, et elle permet un filtrage et un blocage plus agressifs du trafic réseau entrant vers les anciens ordinateurs ou en sortant.
Remarque : Microsoft recommande de ne jamais exposer directement les systèmes Microsoft® Windows NT® version 4.0 ou Microsoft Windows® 98 à Internet, même en les plaçant dans un réseau de périmètre. Ces systèmes devraient être réservés à une utilisation sur le réseau interne.
Considérations sur la sécurité du réseau
La protection des systèmes anciens de votre environnement mérite autant d'attention que celle accordée à votre environnement de périmètre. Le renforcement et la sécurisation du réseau nécessitent que vous mettiez en parallèle vos besoins métier, vos limitations budgétaires et les considérations de sécurité suivantes (qui sont couvertes en détail dans les sections ci-dessous) :
Protection renforcée
Contrôle du périmètre
Menaces bidirectionnelles
Séparation de services dissemblables
Planification des échecs et réponse aux incidents
Sauvegardes
Synchronisation horaire
Audit et surveillance
Sensibilisation éclairée
Protection renforcée
Pour protéger leurs systèmes informatiques contre les menaces actuelles, les responsables informatiques devraient envisager une stratégie de protection renforcée. Une stratégie de protection renforcée consiste à supprimer les facteurs aggravant les risques et à ajouter des contrôles permettant de réduire les risques. Quelle que soit la qualité de vos logiciels, de votre matériel, de vos processus et de votre personnel, un attaquant fortement motivé serait sans doute capable de trouver un moyen de contourner une couche de protection unique. Le modèle de sécurité par protection renforcée protège les actifs importants en utilisant plusieurs niveaux de sécurité dans l'ensemble de l'environnement afin de le prémunir contre les intrusions et les menaces de sécurité. Cette approche à plusieurs couches rend plus difficile pour un attaquant de pénétrer un système d'information et réduit donc le risque global d'exposition et la probabilité des compromissions.
Au lieu de dépendre d'une seule défense de périmètre forte ou de serveurs renforcés, une approche de protection renforcée s'appuie sur l'alliance de plusieurs défenses différentes contre une menace possible. La protection renforcée ne rend pas inutiles les autres mesures de sécurité, elle exploite au contraire les avantages de chacune d'elles pour construire une défense plus solide. Le développement de la sécurité sur des couches qui se chevauchent présente deux avantages majeurs :
Les attaques ont moins de chances de réussir. Plus vous utilisez de couches différentes, plus il est difficile pour un attaquant de s'introduire en profondeur et plus vous aurez de chances de détecter l'attaque en cours.
L'impact des nouvelles vulnérabilités des périphériques est minimisé. Chaque couche protège en effet contre un type d'attaque différent ou fournit une double couverture qui n'est pas affectée par les mêmes faiblesses qu'une autre couche. De ce fait, beaucoup de nouvelles attaques peuvent être prévenues lorsqu'une transaction dépendante est bloquée par une mesure de défense encore intacte, ce qui vous donne le temps de traiter les principales faiblesses.
S'ils ne sont pas déjà configurés pour le permettre, vos processus commerciaux doivent être réglés de manière à coordonner les changements apportés à différentes couches.
Segmentation du réseau
Les réseaux de périmètre sont créés afin d'établir une barrière qui permet de séparer le trafic des réseaux entrants et sortants. Une fois cette barrière en place, il devient possible de classer, de mettre en quarantaine et de contrôler le trafic sur votre réseau. Théoriquement, le réseau de périmètre idéal n'autorise aucun trafic à entrer jusqu'au système central à l'exception de ce qui est absolument indispensable pour permettre les interactions voulues. Toute autre transaction traversant le périmètre représente une faille potentielle dans la défense, c'est-à-dire qu'elle constitue, pour un attaquant, un vecteur de prise de contrôle possible. L'activation de tout nouveau service accroît l'étendue de la menace car elle introduit un nouvel ensemble de codes pouvant générer des vulnérabilités et des brèches.
Les stratégies de sécurité traditionnelles recommandent de définir un périmètre entre les hôtes de votre réseau qui communiquent directement avec Internet et ceux qui ne le font pas. Cependant, vous obtiendrez un niveau de sécurité supplémentaire en traitant les systèmes anciens comme s'ils faisaient partie de votre périmètre, en contrôlant étroitement les intercommunications entre votre réseau "normal" et les segments comprenant des systèmes anciens. Le fait d'isoler les systèmes anciens sur leurs propres segments de réseau présente deux avantages majeurs :
Il vous permet de traiter les systèmes anciens comme vous le feriez avec les ordinateurs du réseau de périmètre. Comme les versions antérieures de Windows ne comprennent pas un grand nombre des fonctionnalités et caractéristiques de sécurité des versions plus récentes, elles risquent plus d'être compromises que les nouveaux systèmes et doivent donc être protégées en conséquence.
Il offre un meilleur contrôle des systèmes anciens. En installant ces systèmes à l'intérieur de leur propre périmètre, vous les isolez des contrôles du périmètre du réseau (tels que les pare-feu) qui permettent de surveiller et de contrôler avec soin le trafic transitant entre les différents réseaux.
Menaces bidirectionnelles
Beaucoup d'attaques réussissent parce qu'elles obligent le système cible à établir un contact hors du périmètre. Ce contact est conçu pour s'établir avec un système hostile et lui permettre de pénétrer le système cible. Un autre scénario courant fait intervenir des vers et des virus : une fois un système compromis avec succès, le logiciel malveillant commence à se propager d'un système à un autre en exploitant les relations de confiance et en perturbant les systèmes externes pour s'étendre toujours davantage. De plus, ces systèmes peuvent également s'étendre jusqu'à des systèmes hostiles afin de leur offrir une porte dérobée pour effectuer d'autres opérations. Le périmètre doit être conçu pour limiter non seulement le trafic entrant sur les systèmes protégés mais aussi le trafic qui en sort. Cette configuration rend plus difficile l'utilisation de vos serveurs contre votre environnement en cas de compromission. Elle rend également la tâche de l'attaquant plus ardue car vos propres systèmes ne peuvent pas être recrutés pour aider à violer leurs couches de défense.
Séparation de services dissemblables
À cause d'impératifs de performance, il est souvent tentant d'installer plusieurs services sur un ordinateur afin de rentabiliser au mieux un matériel coûteux. Cependant, agir ainsi de façon irréfléchie rend plus difficile la sécurisation de votre réseau. Vous devez soigneusement analyser les services et le trafic hébergés et générés par vos systèmes et vous assurer que les mesures de votre périmètre sont adéquates pour limiter le trafic aux ensembles appropriés de services et de systèmes distants. L'inverse est également vrai : réunir des systèmes et services semblables et partitionner avec soin le réseau peut grandement faciliter la protection fournie.
Planification des échecs et réponse aux incidents
Pour que votre programme de planification et de mise en œuvre de mesures de sécurité soit valable, vous devez vous poser la question : "Que se passera-t-il si cette mesure échoue ?" Comprendre les conséquences des erreurs, accidents et autres événements imprévus est particulièrement important. Ceci vous permet en effet de concevoir vos défenses de façon à minimiser ces conséquences et à veiller à ce qu'un incident ne déclenche pas une chaîne d'événements entraînant l'exploitation généralisée de vos systèmes anciens. Par exemple, chaque entreprise devrait disposer d'un plan prédéfini précisant les mesures à suivre lors d'une infection par un ver ou un virus et d'un programme d'action à appliquer en cas de suspicion de compromission. Dans la plupart des entreprises, les équipes de réponse aux incidents devraient réunir des représentants du département informatique, du département juridique et de la direction commerciale. Ces intéressés doivent tous participer à l'application d'une réponse cohérente aux failles de sécurité. Le kit de sécurité Microsoft, disponible à l'adresse http://www.microsoft.com/security/guidance, réunit des informations sur la façon d'élaborer et d'appliquer vos propres plans de réponse aux incidents.
Remarque : Microsoft décrit son processus et son approche internes de réponse aux incidents dans le livre blanc intitulé "Incident Response: Managing Security at Microsoft" http://www.microsoft.com/technet/itsolutions /msit/security/msirsec.mspx.
Sauvegardes
Si un attaquant parvient à pénétrer vos systèmes, sa victoire ne sera que temporaire si vous parvenez à l'empêcher de compromettre vos ressources et données principales. Une bonne méthode de sauvegarde et de restauration vous permet, en cas de catastrophe, de toujours disposer des données nécessaires pour restaurer vos systèmes. Toutefois, la sauvegarde des données n'est qu'une première étape. Vous devez aussi être en mesure de rapidement reconstruire tout système compromis ou affecté. Si vous devez conduire une analyse légale du matériel d'origine (souvent afin d'étayer les demandes d'indemnisation auprès des compagnies d'assurance ou pour identifier le vecteur d'attaque), vous aurez peut-être besoin de matériel et de logiciels de rechange ainsi que de procédures de configuration éprouvées.
Synchronisation horaire
Les différents indices permettant de détecter une attaque sont parfois éparpillés dans plusieurs systèmes, surtout dans un réseau de périmètre. En l'absence d'une méthode de corrélation des données, il se peut que vous ne les remarquiez ou ne les associez jamais. Pour faciliter ce processus, tous vos systèmes doivent utiliser la même heure. La commande net time permet aux stations de travail et aux serveurs de synchroniser leur heure sur celle de leurs contrôleurs de domaine. Les implémentations NTP (Third-party Network Time Protocol) permettent aux serveurs de partager la synchronisation horaire avec d'autres systèmes d'exploitation et machines en réseau et fournissent une base horaire unifiée à l'ensemble du réseau.
Audit et surveillance
Quelle que soit l'efficacité des défenses de vos systèmes, vous devez néanmoins les auditer et les surveiller régulièrement. Il est essentiel que vous sachiez à quoi ressemblent vos circuits de circulation normaux, ainsi que les attaques et les réponses aux attaques. Si vous y parvenez, vous saurez qu'un événement négatif se produit car le rythme du trafic de votre réseau changera. L'un des secteurs qu'il convient d'auditer et de surveiller le plus attentivement est celui de l'authentification. Une suite soudaine de tentatives d'authentification qui échouent est souvent le seul signe indiquant que votre système fait l'objet d'une attaque de dictionnaire par force brute. Une attaque de dictionnaire par force brute utilise des mots ou des chaînes de caractères alphanumériques connus pour décrypter des mots de passe simples. De la même façon, des tentatives d'authentification ayant réussi mais présentant un modèle inhabituel sont souvent révélatrices d'une compromission des systèmes à un niveau quelconque et indiquent qu'un attaquant tente d'exploiter cet avantage initial pour accéder à tout le système. La collecte et l'archivage réguliers des journaux d'événements, associés à des analyses automatiques et manuelles, font souvent toute la différence entre des tentatives de pénétration qui réussissent ou qui échouent. Des outils automatisés tels que Microsoft Operations Manager (MOM) facilitent la surveillance et l'analyse des informations consignées.
Sensibilisation éclairée
S'il est certes impossible de tout connaître, il est cependant possible de se montrer toujours attentif et de se sensibiliser aux types de menaces que d'autres administrateurs détectent. Il existe plusieurs excellentes ressources de sécurité dont l'objectif est de fournir des informations actualisées sur les menaces et problèmes de sécurité actuels. Ces ressources sont répertoriées dans la section "Informations complémentaires" à la fin de ce chapitre.
Conception de la sécurité du réseau
Vous disposez de plusieurs mesures spécifiques pour renforcer votre réseau contre les attaques internes et externes. Vous pouvez notamment :
Isoler vos systèmes anciens à l'intérieur de leurs propres segments de réseau, comme dans un périmètre, et les protéger grâce à des règles de contrôle d'accès, des pare-feu et d'autres techniques encore.
Déployer des pare-feu, que ce soit au niveau du réseau -par le biais de périphériques de réseau matériels et de Microsoft Internet Security and Acceleration (ISA) Server ou d'autres produits- ou au niveau des stations de travail individuelles.
Renforcer la pile TCP/IP en appliquant des paramètres plus stricts à la façon dont la pile traite les paquets anormaux.
Utiliser les caractéristiques de filtrage de ports et de paquets incorporés à Windows NT 4.0 pour plus de sécurité.
Conditions requises
Pour appliquer cette solution, certaines conditions sont requises.
Il convient de disposer de sous-réseaux inutilisés de taille suffisante pour héberger tous les hôtes du réseau et les temps de traitement requis sur le réseau.
Il faut bien comprendre le protocole TCP/IP, les ports utilisés dans le réseau, le filtrage des paquets et le routage.
Vous devez posséder une connaissance approfondie des diverses options et caractéristiques TCP/IP des périphériques avec lesquels vos systèmes anciens interagissent.
Architecture
Plusieurs considérations de sécurité doivent être prises en compte lors de la conception d'une architecture de réseau.
Segmentation du réseau
La segmentation du réseau contrôle les flux de trafic entre les hôtes des différents segments d'un réseau. Un réseau segmenté, lorsqu'il est bien conçu, accroît les performances et la sécurité en veillant à ce que seul le trafic approprié soit acheminé entre les segments du réseau. Privilégier l'utilisation de commutateurs plutôt que celle de concentrateurs minimise la capacité d'un pirate à espionner le trafic pour détecter les mots de passe et autres informations sensibles. Cependant, les commutateurs n'éliminent pas complètement ce risque. Un système compromis connecté à un commutateur peut encore servir à réunir des informations auprès d'autres systèmes. Voilà pourquoi il faut voir dans les commutateurs une réponse aux collisions et performances réseau, et non un moyen d'assurer la sécurité du réseau.
Le filtrage des ports et des paquets, associé à des pare-feu personnels, contribue également à protéger les systèmes anciens contre les intrusions et les compromissions. Dans certaines situations, néanmoins, il n'est pas envisageable d'installer et d'entretenir un logiciel de pare-feu sur les ordinateurs des utilisateurs à cause des frais généraux qu'ils entraînent. À moins d'installer un logiciel de pare-feu pouvant être géré et configuré à distance par l'intermédiaire d'un serveur et d'une base de données centralisés, un administrateur devra se pencher plusieurs fois sur chaque ordinateur après le déploiement afin d'en modifier la configuration pour l'adapter aux besoins des utilisateurs individuels. Il est également vraisemblable qu'il faudra effectuer d'autres tâches administratives lors du déploiement de chaque nouvelle application pour répondre aux vulnérabilités et points d'échec nouveaux que ces applications risquent d'introduire.
Certaines entreprises n'ont pas assez de personnel pour gérer les centaines de pare-feu qui seraient potentiellement nécessaires. Lorsque tel est le cas, les entreprises peuvent voir dans la segmentation du réseau une alternative, ou un mécanisme de sécurité supplémentaire, pour mieux protéger leur réseau. Comme nous l'avons déjà expliqué, la segmentation du réseau implique que certains serveurs sont mis en quarantaine dans un réseau de périmètre. Cela implique également de fragmenter le réseau en segments distincts afin d'apporter des niveaux de protection supplémentaires aux systèmes résidant dans chaque segment. La segmentation apporte aussi une grande souplesse à la mise en forme du trafic, au contrôle et au filtrage des ports ainsi qu'à d'autres tâches de gestion car chaque segment est potentiellement capable d'avoir une configuration propre répondant aux besoins des usagers du groupe tout en respectant les exigences de sécurité du réseau. En fait, la segmentation du réseau introduit un pare-feu au niveau du groupe de travail où il peut être associé aux pare-feu de périmètre afin de renforcer encore la sécurité générale du réseau.
La segmentation du réseau prend en compte deux types de menaces potentielles : celles venant de l'extérieur du réseau, et celles trouvant leur origine dans le réseau. Le cas classique d'un habile employé du département Ingénierie qui parvient à s'introduire dans le serveur de fichiers du département des Ressources humaines est un exemple parfait de situation où la segmentation du réseau s'avèrerait profitable pour le réseau LAN. Le pare-feu installé à l'entrée du segment du département des Ressources humaines analyse le trafic afin d'empêcher l'accès des ordinateurs des départements non autorisés. De même, le département Ingénierie devrait être protégé des autres segments.
La segmentation de réseau permet de structurer le réseau en zones de sécurité distinctes disposant d'une capacité unique à gérer le trafic en fonction de règles pour chaque segment. La segmentation du réseau peut s'opérer de diverses manières. Ainsi, on peut choisir de déployer un pare-feu matériel sur chaque segment et de segmenter physiquement le réseau. Il est également possible de déployer un seul pare-feu centralisé ayant la capacité de faire office de LAN/Segmentation virtuel qui protègera des groupes individuels. En fin de compte, le choix d'une solution dépendra de la topologie du réseau et des besoins en sécurité de chaque groupe. Il conviendrait au moins d'isoler les segments présentant les risques les plus élevés (ce qui est le cas des réseaux sans fil) du reste du réseau et d'imposer des règles strictes pour interdire tout trafic non autorisé en direction ou en provenance de ces segments.
Pour déterminer quelle solution de segmentation de réseau sera la plus appropriée pour votre réseau, commencez par examiner la structure de votre réseau. Il est ensuite possible d'identifier les segments présentant le plus grand risque et de commencer à développer une solution. Il est probable que le fournisseur de votre pare-feu existant pourra vous communiquer des informations techniques et vous proposer des produits qui vous aideront à déployer une solution.
Trey Research a choisi de segmenter les systèmes anciens de son siège social en installant ses serveurs Windows NT 4.0 et ses clients Windows 98 sur un segment séparé puis en insérant un pare-feu entre ce segment et le reste du réseau d'entreprise. En activant l'utilisation de la traduction des adresses réseau (NAT) sur ce pare-feu, les ingénieurs de la société Trey peuvent facilement bloquer ou filtrer le trafic entrant ou sortant sur ce segment, ce qui leur donne de plus grandes capacités de défense.
Pare-feu personnels
Bien que les protections et les mesures incorporées à la pile TCP/IP de Windows NT constituent un bon début, elles présentent des limitations importantes qui les rendent impropres au déploiement dans de nombreux cas. De plus, elles ne protègent aucunement les clients Windows 98. Les pare-feu logiciels, souvent appelés pare-feu personnels, apportent souvent un niveau de protection supplémentaire. Ces applications spécialisées se placent au sommet de la pile du réseau pour intercepter l'activité du réseau, la classifier par rapport aux données de la base de données configurée relatives au trafic autorisé et pour permettre ou interdire cette activité.
Le grand avantage des pare-feu personnels est qu'ils peuvent être spécialement réglés en fonction des modèles de trafic spécifiques à chaque ordinateur individuel. L'inconvénient, en revanche, est qu'il est plus facile d'y accéder et de les gêner, que ce soit par accident ou de façon délibérée, car ce sont des applications.
Les pare-feu personnels ajoutent néanmoins une couche de sécurité supplémentaire aux serveurs et clients anciens, offrent des capacités importantes qui font défaut aux systèmes anciens (par exemple, la capacité de limiter le trafic sur certains ports à des hôtes précis) et réduisent la surface faisant l'objet de menaces du fait des services requis. Selon l'endroit où le pare-feu s'attache à la pile du réseau, il peut bloquer le trafic hostile avant qu'il n'atteigne les vulnérabilités du système d'exploitation ou les applications d'écoute.
Les pare-feu personnels permettent également de limiter les dommages causés par les chevaux de Troie, les virus et les vers. Les logiciels malveillants de ce type sont souvent à l'origine de trafic sortant et d'espionnage des ports pour établir des connexions illicites. Ce trafic a plusieurs objectifs qui vont de la transmission de spam (aussi bien à des systèmes de messagerie internes qu'externes) à l'analyse d'autres hôtes et réseaux afin d'en détecter les vulnérabilités et les failles. En outre, il occupe de l'espace disque, des cycles de processus, de la mémoire et de la bande passante sur le réseau. Ces applications, et le lancement de leur connexion, causent souvent des périodes de déni de service en plus de problèmes d'infection et de nettoyage.
Outre leurs capacités accrues de filtrage entrant et sortant, de nombreux pare-feu personnels peuvent aussi autoriser ou interdire l'accès au réseau en fonction de l'exécutable qui en fait la demande. Cette fonctionnalité peut servir à bloquer des applications spécifiques ou à n'autoriser que des applications pré-approuvées à accéder au réseau indépendamment des ports et protocoles qu'elles utilisent. Ceci empêche les utilisateurs de contourner les configurations de sécurité à l'aide d'applications de protocole mobile telles que les applications de partage de fichiers poste à poste, de messagerie instantanée et autres qui imposent leurs connexions par le biais du protocole HTTP (Hypertext Transfer Protocol).
L'installation et la configuration des pare-feu personnels exigent parfois beaucoup de temps car ces derniers scrutent littéralement chaque transaction, du moins jusqu'à ce qu'une transaction soit correctement identifiée et classée en tant que transaction autorisée ou interdite. Avec des pare-feu, il faut une connaissance détaillée de chaque bit de trafic réseau généré par les applications et services autorisés car une seule interaction bloquée risque d'empêcher l'exécution de programmes indispensables. Les pare-feu nécessitent également de la maintenance, l'application de correctifs de sécurité et des mises à jour. Recherchez des pare-feu disposant de fonctionnalités destinées à une utilisation en entreprise, notamment la possibilité de gérer et d'entretenir de façon centralisée les bases de données de configuration.
Le client pare-feu ISA, utilisé conjointement au serveur ISA, offre des capacités de filtrage et d'application des règles plus sophistiquées ; il permet de contrôler le trafic en fonction de l'identité de l'utilisateur mais aussi selon l'origine et la destination de ce trafic. L'ensemble du trafic peut être surveillé et contrôlé par des serveurs placés à des endroits stratégiques et il est possible de rapidement et aisément mettre à jour les stratégies s'appliquant à l'entreprise.
Le téléchargement du service de routage et accès distant (RRAS, Routing and Remote Access Service) pour Windows NT constitue une autre option. Bien que le RRAS offre surtout une prise en charge de protocoles de routage dynamiques tels que le protocole RIP (Routing Information Protocol) et fournisse des capacités de connexion à distance et de réseau privé virtuel (VPN), il permet aussi de définir un contrôle de l'accès sur le trafic entrant sur le réseau qui dépasse de loin le filtrage des ports de base incorporé à Windows NT. Le service RRAS peut être téléchargé gratuitement depuis la page Routing and Remote Access Service Download (Télachargement de services de routage et d'accès à distance) à l'adresse http://www.microsoft.com/ntserver/nts/downloads /winfeatures/rras/rrasdown.asp.
La décision d'utiliser le RRAS ou toute autre solution logicielle complémentaire présente cependant un inconvénient majeur. Les modules complémentaires sont des sous-systèmes logiciels s'exécutant comme des services Windows. En tant que tels, ils débutent après l'initialisation des interfaces réseau et des protocoles. De ce fait, il existe une fenêtre par laquelle un trafic hostile aurait l'opportunité de s'introduire lors d'un redémarrage ou d'une interruption de service. L'utilisation de pare-feu personnels, d'un client pare-feu sur serveur ISA ou du RRAS sans autre moyen ou couche de protection n'assure pas une sécurité absolue. Des défenses multiples compensant et contrecarrant les faiblesses de chaque couche offrent une protection très largement accrue.
Trey Research utilise déjà le pare-feu ICF inclus dans Windows XP sur certains de ses systèmes. Trey a choisi d'acheter une licence de pare-feu personnel auprès d'un autre fournisseur afin de déployer ce produit sur ses ordinateurs exploitant Windows 98 et Windows NT Workstation 4.0. La société dispose ainsi d'un filtrage entrant et sortant du trafic interne sur le réseau d'entreprise séparé et d'un système de collecte centralisé des données qui l'aident connaître le type et le volume du trafic sur son réseau.
Filtres de ports et de paquets de Windows NT
L'un des meilleurs moyens de protéger des ordinateurs mis en réseau consiste à restreindre les types de trafic réseau qu'ils reçoivent et traitent, ce qui nécessite généralement d'utiliser un filtre de paquets. Lorsqu'ils conçoivent des stratégies de filtrage des paquets, les administrateurs se concentrent surtout sur les routeurs et les goulots d'étranglement. Windows NT comporte cependant une fonction de filtrage des paquets connue sous le nom de sécurité TCP/IP. Bien que la protection fournie par cette fonction ne soit pas suffisante en soi, elle constitue une parfaite couche de défense secondaire lorsqu'elle est associée à des dispositifs dynamiques de filtrage de paquets
Le principal avantage des caractéristiques de sécurité TCP/IP intégrées à Windows NT vient de ce que des caractéristiques sont appliquées au sein de la pile TCP/IP du réseau en tant que partie intégrante des pilotes de protocole. L'intérêt de cette intégration en profondeur tient à ce que tous les paramètres sont actifs aussi longtemps que les interfaces protégées le sont. Il n'existe aucune période, comme par exemple au démarrage, pendant laquelle le trafic réseau n'est pas filtré. La sécurité TCP/IP est transparente pour les applications bien qu'elle puisse entrer en conflit avec certains logiciels de pare-feu personnels.
En dépit de son nom, la sécurité TCP/IP permet le filtrage port par port des protocoles TCP et UDP (User Datagram Protocol) et d'autres protocoles IP. Les filtres actifs bloquent le trafic entrant mais autorisent le trafic sortant et les réponses aux connexions TCP initiées par l'hôte local. Certaines limites existent cependant.
Les filtres de port autorisent ou bloquent le trafic pour tous les hôtes. Il n'est pas possible d'établir un niveau de contrôle granulaire plus fin comme c'est le cas avec la fonctionnalité IP Security (IPsec) Extensions incorporée à Windows 2000, Windows XP et Microsoft Windows Server™ 2003.
Les filtres ne sont pas véritablement dynamiques et ne peuvent pas être liés de façon dynamique pour autoriser le trafic pour les connexions secondaires. Dans les versions ultérieures de Windows, l'implémentation IPsec permet d'autoriser les connexions secondaires comme le font la plupart des pare-feu matériels.
En plus de la simple fonctionnalité de filtrage des ports qui vient d'être décrite, la pile TCP/IP de Windows NT offre de nombreux paramètres réglables particulièrement utiles pour stopper ou minimiser le trafic dangereux sur le réseau. Au fil du temps, diverses attaques ont été développées qui exploitent les failles du code de mise en réseau TCP/IP de Windows NT 4.0. Bien que ces failles aient été corrigées par des Service Packs et des mises à jour de sécurité, il peut être néanmoins utile d'appliquer ces changements pour protéger encore plus votre réseau. En général, ces réglages nécessitent la modification directe du registre à l'aide des outils regedit32 ou regedit. L'article 120642 de la Base de connaissances de Microsoft intitulé "TCP/IP and NBT Configuration Parameters for Windows 2000 or Windows NT" (Paramètres de configuration NBT et TCP/IP pour Windows 2000 ou Windows NT) disponible sur le site http://support.microsoft.com/kb/120642 fournit une liste détaillée des paramètres modifiables. Les paramètres intervenant au premier chef dans la sécurité du réseau et du système sont présentés dans les sections suivantes.
Trey Research a défini le filtrage des ports et des paquets de ses hôtes anciens de façon à interdire au trafic provenant de ports ne figurant pas dans l'article 150543 de la Base de connaissance intitulé "Windows NT, Terminal Server, and Microsoft Exchange Services Use TCP/IP Ports" (Les services Windows NT, Terminal Server et Microsoft Exchange utilisent les ports TCP/IP) disponible à l'adresse http://support.microsoft.com/kb/150543 ou utilisés par d'autres applications de son réseau de quitter le réseau interne pour gagner Internet. Ceci empêche la diffusion de tout trafic sensible provenant du réseau sur un réseau non contrôlé.
Protection contre les saturations SYN
La saturation SYN (synchronisation) est un vecteur classique d'attaque contre les services TCP. Quand un client TCP veut lancer une nouvelle connexion, il envoie des paquets TCP vides portant l'indicateur SYN indiquant qu'il demande une nouvelle connexion à un serveur d'écoute. Le serveur renvoie un paquet de réponse comportant à la fois l'indicateur SYN et l'indicateur ACK (accusé de réception). Le client répond alors par un paquet ACK, ce qui conclut le processus de connexion en trois étapes et ouvre la connexion.
Tant que l'accusé de réception final n'a pas été reçu, le pilote TCP/IP affecte le statut SYN_RCVD (SYN reçue) à cette connexion. Si, pour une raison ou une autre, Windows ne reçoit pas de réponse au paquet SYN+ACK le système patientera une seconde (valeur par défaut) avant de retransmettre le paquet SYN+ACK. Un seconde retransmission a lieu après un autre délai de trois secondes, puis une retransmission finale au bout de six autres secondes. Chaque demande de connexion oblige le serveur à allouer une certaine quantité de mémoire et d'autres structures du noyau. Un grand nombre de requêtes entrantes peut rapidement épuiser ces ressources et entraîner un déni de service. Les clés de registre concernées sont les suivantes :
HKLM\SYSTEM\CurrentControlSet\Services\ Tcpip\Parameters\SynAttackProtect (REG_DWORD) :
0 = Désactivé (valeur par défaut)
1 = Retarder la création de l'entrée du cache de routage jusqu'à ce que la connexion soit établie
2 = Retarder la notification au pilote Winsock jusqu'à ce que la connexion en trois étapes soit terminée (recommandé)
HKLM\SYSTEM\CurrentControlSet\Services\ Tcpip\Parameters\TcpMaxHalfOpen (REG_DWORD) :
- Cette clé détermine le nombre maximum de tentatives de connexion que la pile IP autorisera à conserver l'état SYN_RCVD avant de déclencher l'état SynAttack. La valeur par défaut est 100.
HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\ Parameters\TCPMaxHalfOpenRetried (REG_DWORD) :
- Cette clé détermine le nombre maximum de connexions présentant l'état SYN_RCVD et ayant été retransmises plus d'une fois avant le déclenchement de l'état SynAttack. La valeur par défaut est 80.
HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\ Parameters\TCPMaxPortsExhausted (REG_DWORD) :
- Cette clé détermine le nombre de demandes de connexion refusées provoquées par l'absence de backlog avant le déclenchement de l'état SynAttack. La valeur par défaut est 5.
HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\ TCPMaxConnectResponseRetransmissions (REG_DWORD) :
- Cette clé précise le nombre de tentatives de retransmissions pendant l'état SYN_RCDV. La valeur par défaut est 3, ce qui permet trois retransmissions. Si cette valeur est réglée sur 1, une seule tentative de retransmission aura lieu.
L'article 146241 de la base de connaissances intitulé "Internet Server Unavailable Because of Malicious SYN Attacks" (Indisponibilité du serveur Internet du fait d'attaques SYN) et disponible à l'adresse http://support.microsoft.com/kb/142641 explique ces paramètres plus en détail.
Sur ses anciens systèmes, Trey Research a renforcé les paramètres de toutes les clés de registre précédemment répertoriées, réduisant ainsi le risque qu'une attaque SYN ne les affecte négativement. Trey Research n'a pas utilisé les paramètres les plus restrictifs car il est véritablement nécessaire de laisser le trafic SYN normal traverser le réseau. La société ne désire pas non plus interrompre le transit du trafic réseau normal. Les administrateurs de systèmes de la société Trey sont conscients que les modifications apportées aux paramètres par défaut devront peut-être être revues et ils surveillent de façon proactive la quantité de trafic SYN sur leur réseau.
Contrôle de la taille du backlog
Les applications qui se servent de TCP/IP utilisent l'interface de programmation d'application (API) fournie par afd.sys, le pilote de mode noyau Winsock. L'API Winsock offre aux applications les mécanismes permettant d'ouvrir des connexions client et d'établir des écoutes sur les ports pour les connexions serveur. La fonction listen() permet d'indiquer à Winsock qu'il faut surveiller les tentatives de connexions à un port précis et les transférer vers l'application.
L'un des paramètres que cette fonction doit définir est la taille du backlog, file d'attente contenant les connexions entrantes mises en attente jusqu'à ce que la pile puisse les traiter. Le backlog détermine la longueur maximale de la file d'attente. Par défaut, sa valeur est égale à 200 sur Windows NT Server et à 5 sur Windows NT Workstation. Le Service Pack 2 (SP2) pour Windows NT 4.0 introduit la fonction de backlog dynamique qui permet à la pile TCP/IP d'ajuster la taille de la file d'attente du backlog pour l'adapter aux conditions actuelles du réseau.
Par défaut, la fonctionnalité d'ajustement de la file d'attente du backlog est désactivée et doit être activée à l'aide des entrées de registre suivantes. En outre, l'application appelante doit demander une file d'attente du backlog supérieure au paramètre MinimumDynamicBacklog pour bénéficier de cette fonction. Les clés de registre concernées sont les suivantes :
HKLM\SYSTEM\CurrentControlSet\Services\AFD\ Parameters\EnableDynamicBacklog (REG_DWORD) :
0 = Désactivé (valeur par défaut)
1 = Activé (recommandé)
HKLM\SYSTEM\CurrentControlSet\Services\ AFD\Parameters\MinimumDynamicBacklog (REG_DWORD) :
- Cette clé précise le nombre minimum d'entrées dans la file d'attente du backlog ; si le nombre d'entrées disponibles tombe sous ce seuil minimum, vous devez créer davantage d'entrées. La valeur recommandée est 20.
HKLM\SYSTEM\CurrentControlSet\Services\ AFD\Parameters\MaximumDynamicBacklog (REG_DWORD) :
Cette clé précise le nombre maximum d'entrées pouvant être créées dans la file d'attente du backlog. Définir ce nombre sur une valeur supérieure à 5 000 pour une mémoire vive du système d'une taille de 32 Mo peut provoquer un épuisement de la mémoire en cas d'attaque. N'oubliez pas qu'une file d'attente de backlog individuelle est créée pour chaque service réseau. Étant donné que les serveurs cibles de Trey Research disposent d'une mémoire vive de 512 Mo, la formule utilisée pour déterminer la limite supérieure de cette valeur de registre est :
(512/32)*5000=144000.
Pour les stations de travail (qui disposent toutes de 256 Mo de mémoire vive), la valeur calculée est (256/32)*5000 = 72000.
HKLM\SYSTEM\CurrentControlSet\Services\AFD\ Parameters\DynamicBacklogGrowth-Delta (REG_DWORD) :
- Cette clé indique le nombre de nouvelles connexions à ajouter au backlog en une fois lorsqu'il en faut davantage. La valeur recommandée est 10.
L'article 146241 de la base de connaissances intitulé "Internet Server Unavailable Because of Malicious SYN Attacks" (Indisponibilité du serveur Internet du fait d'attaques SYN) et disponible à l'adresse http://support.microsoft.com/kb/142641 explique ces paramètres plus en détail.
Trey Research a décidé de définir les valeurs recommandées de toutes les clés de registre précédemment répertoriées de façon à contrôler le nombre de connexions entrantes afin que les systèmes de la société ne soient pas saturés par les demandes entrantes.
Directive Keep Alive TCP
La directive Keep Alive TCP constitue une fonctionnalité TCP avancée qui maintient les connexions "longue durée" actives. Cette fonction est particulièrement importante pour les connexions qui traversent les pare-feu et les dispositifs de traduction d'adresses réseau qui suppriment régulièrement les entrées anciennes de leurs tables de connexions et d'usurpation d'identité.
Windows NT offre une fonction permettant d'activer et de définir les délais d'expiration de la directive Keep Alive TCP. Le choix d'une valeur plus basse permet d'éviter que des connexions inactives n'accaparent trop longtemps des ressources. Servez-vous des clés de registre suivantes pour définir cette valeur :
HKLM\SYSTEM\CurrentControlSet\Services\ Tcpip\Parameters\KeepAliveTime (REG_DWORD) :
- Cette clé indique le nombre de millisecondes entre les contrôles Keep Alive ; par défaut, cette valeur est de 7 200 000 (deux heures).
HKLM\SYSTEM\CurrentControlSet\Services\ Tcpip\Parameters\KeepAliveInterval (REG_DWORD) :
- Cette clé définit le nombre de millisecondes entre les retransmissions d'un paquet Keep Alive quand aucune réponse n'a été reçue ; par défaut, cette valeur est égale à 1000 (une seconde).
Trey Research n'a pas modifié les paramètres de sa directive Keep Alive TCP car, jusqu'à présent, elle n'a pas eu de problème avec la durée d'utilisation de ses connexions.
Recherche de l'unité maximale de transfert d'un chemin
La recherche de l'unité maximale de transfert (MTU) d'un chemin est une fonctionnalité qui permet à Windows de rechercher automatiquement la plus grande taille de paquet prise en charge entre les hôtes sur tous les segments du réseau. Elle fonctionne en envoyant des paquets volumineux comportant un bit appelé "do not fragment" (ne pas fragmenter). Lorsqu'un routeur ne peut pas relayer ce paquet car sa taille est supérieure à l'unité maximale de transfert du segment, il renvoie un message d'erreur ICMP (Internet Control Message Protocol). Windows réduit ensuite la taille du paquet et essaie à nouveau jusqu'à ce que le paquet soit acheminé jusqu'à sa destination.
En définissant une unité maximale de transfert appropriée pour les hôtes distants, Windows évite de générer des paquets fragmentés qui réduisent les performances et augmentent le risque de perte de données et de retransmissions. Les paquets fragmentés peuvent aussi être une source de risques. Les gestionnaires de paquets sont couramment à l'origine de dépassements de capacité de la mémoire tampon et une fonction de filtrage des fragments à la frontière peut fortement réduire les attaques. La recherche de l'unité maximale de transfert d'un chemin devrait être activée, mais cela implique que les messages ICMP type 3, code 4 seront routés à travers les pare-feu. Servez-vous des clés de registre suivantes pour définir cette valeur :
HKLM\SYSTEM\CurrentControlSet\Services\ Tcpip\Parameters\EnablePathMTUDiscovery (REG_DWORD) :
1 = Activé (valeur par défaut, recommandée)
0 = Désactivé
Une valeur égale à 0 définit une taille d'unité maximale de transfert de 576 octets pour tout le trafic à l'extérieur des sous-réseaux locaux configurés. De plus, avec ce paramètre, Windows n'honorera pas les demandes de modification de l'unité maximale de transfert.
HKLM\SYSTEM\CurrentControlSet\Services\ Tcpip\Parameters\EnablePathMTUBHDetect (REG_DWORD) :
0 = Désactivé (valeur par défaut)
1 = Activé
Une valeur égale à 1 permet à Windows de tenter de détecter des routeurs "trou noir" pendant la recherche de l'unité maximale de transfert d'un chemin ; ces routeurs ignorent automatiquement les paquets portant le bit indicateur "do not fragment" s'ils sont trop volumineux au lieu de renvoyer la réponse ICMP adéquate. Si cette valeur est activée, le nombre de retransmissions risque d'être plus important.
Trey Research n'a pas modifié les valeurs par défaut de la recherche de l'unité maximale de transfert d'un chemin car la désactivation de cette fonctionnalité pourrait rendre certains systèmes distants inaccessibles. Trey Research ne veut pas risquer que les transactions commerciales s'interrompent si les systèmes se trouvant sur le chemin de communication ne prennent pas en charge la réduction de la taille de l'unité maximale de transfert.
Routage source
Le routage source permet aux applications de passer outre les tables de routage et indiquent une ou plusieurs destinations intermédiaires pour les datagrammes sortants. Bien que cette capacité présente une utilité marginale en cas de dépannage, il est vivement déconseillé de l'utiliser sur des réseaux de production modernes. Des attaquants peuvent exploiter cette fonctionnalité pour diriger de façon indétectable tout le trafic réseau vers un point de collecte centralisé pour capturer les paquets. Désactivez le routage source à l'aide de la clé de registre mentionnée ci-dessous ; assurez-vous également que les routeurs de frontière sont configurés afin d'abandonner tous les datagrammes IP dont l'option de routage source est définie.
HKLM\SYSTEM\CurrentControlSet\Services\ Tcpip\Parameters\DisableIPSourceRouting (REG_DWORD) :
0 = Activé (valeur par défaut)
1 = Désactivé lorsque le transfert IP est activé
2 = Complètement désactivé (recommandé)
Trey Research a désactivé le routage source sur tous les hôtes sous son contrôle pour empêcher la capture de données réseau par des attaquants.
Détection de passerelle inactive
La détection de passerelle inactive permet à Windows de remarquer les cas où une passerelle par défaut semble ne plus répondre et de basculer vers d'autres passerelles configurées par défaut. Dans la pratique, cette capacité est rarement utilisée car elle offre des opportunités d'attaques par déni de service. Servez-vous des clés de registre suivantes pour contrôler cette fonction :
HKLM\SYSTEM\CurrentControlSet\Services\ Tcpip\Parameters\EnableDeadGWDetect (REG_DWORD) :
0 = Désactivé (recommandé)
1 = Activé (valeur par défaut)
Trey Research a activé la détection de passerelle inactive sur tous ses hôtes afin de réduire les possibilités d'attaque par déni de service sur son réseau.
Recherche de routeur
La recherche de routeur ICMP utilise les messages de recherche de routeur ICMP pour localiser et configurer les routes et passerelles par défaut. Une fois encore, les attaquants peuvent mettre à profit cette fonctionnalité pour rediriger le trafic réseau à diverses fins, notamment pour espionner et lancer des attaques du type de l'homme au milieu. Les routeurs qui prennent cette fonctionnalité en charge doivent envoyer un message IRDP ICMP qui devrait être désactivé. En outre, le protocole DHCP doit être configuré avec l'option appropriée pour que l'interface accepte les messages IRDP.
Il convient d'éditer la clé de registre suivante pour empêcher des modifications mal intentionnées de la configuration ; si la capacité d'utiliser plusieurs routeurs est vraiment indispensable, envisagez de déployer le module RRAS complémentaire et d'utiliser un protocole de routage sécurisable.
HKLM\SYSTEM\CurrentControlSet\Services\ Tcpip\Parameters\PerformRouterDiscovery (REG_DWORD) :
0 = Désactivé (recommandé)
1 = Activé
Trey Research a désactivé la recherche de routeur sur tous ses hôtes afin d'empêcher des modifications non autorisées de la configuration au sein de son réseau.
Redirections ICMP
Les redirections ICMP sont une autre source de vulnérabilité potentielle car elles permettent à un expéditeur arbitraire de falsifier des paquets et de modifier les tables de routage de sa victime. Cette fonctionnalité est activée par défaut. Il est recommandé de la désactiver à l'aide de la clé suivante pour éviter toute utilisation malveillante :
HKLM\SYSTEM\CurrentControlSet\Services\ Tcpip\Parameters\EnableICMPRedirect (REG_DWORD) :
0 = Désactivé (recommandé)
1 = Activé (valeur par défaut)
Trey Research a désactivé les redirections ICMP sur tous ses hôtes pour protéger la table de routage de chacun d'eux.
Fermetures de port RPC
Par défaut, beaucoup de services sont à l'écoute sur les interfaces réseau, y compris sur l'interface de bouclage locale. Ainsi, le mappeur de port RPC de Microsoft est à l'écoute sur les ports TCP/135, UDP/135, TCP/1027 et TCP/1028. Trois de ces services —le client RPC, le serveur RPC et le mappeur de point final RPC— peuvent être configurés pour fermer tous les ports ouverts. Cependant ces modifications doivent être vérifiées avec soin car elles peuvent gêner certaines fonctionnalités, non seulement auprès des hôtes distants mais aussi entre les services locaux.
Microsoft Exchange et Microsoft SQL Server™ sont les applications requérant l'appel de fonction RPC le plus couramment déployées. En outre, les appels RPC servent lors de la gestion à distance des serveurs. Les utilitaires incorporés courants qui dépendent des services RPC sont les suivants :
Gestionnaire DHCP
Administrateur DNS
Gestionnaire WINS
Analyseur de performances
Observateur d’événements
Éditeur du Registre
Gestionnaire de serveurs
Gestionnaire d'utilisateurs
Pour savoir si une utilisation utilise l'appel de fonction RPC, installez l'agent et les outils de surveillance réseau de Windows NT 4.0 depuis le CD et servez-vous en pour déterminer si l'application utilise les appels RPC sur les ports précédemment cités.
Supprimez les clés de registre suivantes pour désactiver le client RPC :
HKLM\SOFTWARE\Microsoft\RPC\ClientProtocols\ncacn_ip_tcp
HKLM\SOFTWARE\Microsoft\RPC\ClientProtocols\ncacn_ip_udp
Supprimez les clés de registre suivantes pour désactiver le client RPC :
HKLM\SOFTWARE\Microsoft\RPC\ServerProtocols\ncacn_ip_tcp
HKLM\SOFTWARE\Microsoft\RPC\ServerProtocols\ncacn_ip_udp
Le mappeur de point final RPC (rpcss.exe) ouvre plusieurs ports si le serveur RPC est activé, mais il peut aussi être configuré pour rejeter les tentatives de connexion DCOM (Distributed Component Object Model) qui ne sont pas locales. Attention, toutefois : ceci aura un fort impact sur votre capacité à gérer vos systèmes à distance. L'extension du client Directory Services décrite au chapitre 4 dans la section "Renforcement de Windows NT 4.0" sera particulièrement affectée car elle dépend beaucoup des fournisseurs WMI (Windows Management Instrumentation) qui sont des objets DCOM. Vous pouvez désactiver les connexions DCOM qui ne sont pas locales à l'aide des clés de registre suivantes :
HKLM\SOFTWARE\Microsoft\OLE\EnableDCOM (REG_SZ) :
- Paramétrez la valeur sur "N " pour désactiver les connexions DCOM distantes.
Trey Research n'a pas modifié les ports de ses hôtes internes car ces ports doivent demeurer actifs pour permettre l'utilisation de nombreux services réseau. De plus, la fermeture des hôtes RPC rendrait plusieurs applications inaccessibles aux utilisateurs.
Implémentation
Conditions requises
Pour que ces implémentations prennent correctement effet, vous devez avoir implémenté l'infrastructure de base de Trey Research telle qu'elle a été décrite au chapitre 2 intitulé "Application d'une discipline de gestion du risque de sécurité au scénario Trey Research".
Présentation
Pour implémenter ce scénario de solution, il convient de réaliser les opérations suivantes :
Configurer le filtrage de port natif de Windows NT 4.0.
Configurer les paramètres de réglage IP de Windows NT 4.0.
Pour la plupart de ces paramètres, les fichiers de registre sont présentés dans la section Outils et modèles de ce guide.
Configuration du filtrage de port natif de Windows NT 4.0
Avant d'activer le filtrage de port TCP/IP sur vos serveurs Windows NT, vous devez savoir avec exactitude quel trafic est indispensable au fon fonctionnement de ce serveur dans son rôle précis. Microsoft fournit une liste de base des ports connus qu'utilise Windows NT 4.0, laquelle est disponible sous le titre "Port Reference for MS TCP/IP" (Référence des ports affectés au TCP/IP par MS) à l'adresse http://www.microsoft.com/technet/prodtechnol /winntas/support/port_nts.mspx.
Pour les autres applications, consultez la documentation qui devrait les accompagner. En ce qui concerne les systèmes Windows Server, vous pouvez consulter l'article 832017 de la Base de connaissances intitulé "Port Requirements for the Microsoft Windows Server System" (Configuration des ports pour le système serveur Microsoft Windows) à l'adresse http://support.microsoft.com/kb/832017. Pour d'autres applications qui ne figurent pas dans ces listes, consultez la documentation de l'application remise par le fournisseur ou utilisez un outil de surveillance du trafic réseau tel que Netmon.exe (qui est un composant de Windows NT 4.0), Netstat (un utilitaire incorporé à Windows NT qui indique quels ports sont en cours d'utilisation) ou TCPView (un outil gratuit disponible auprès de Sysinternals à l'adresse www.sysinternals.com) pour vérifier quels ports sont utilisés par l'application.
La configuration du filtrage de ports de Windows NT est un processus simple qui s'effectue comme indiqué ci-dessous.
Pour configurer le filtrage de port natif de Windows NT
Pour ouvrir le Panneau de configuration réseau, cliquez sur Démarrer, sélectionnez Paramètres, cliquez sur Panneau de configuration et cliquez deux fois sur Réseau.
Sur l'onglet Protocoles, sélectionnez l'onglet Protocole TCP/IP puis cliquez sur Propriétés.
Sur l'onglet Adresse IP, cliquez sur Avancé.
Dans la boîte de dialogue Adressage IP avancé, cochez la case Activer la sécurité.
Cliquez sur Configurer.
Dans la boîte de dialogue Sécurité TCP/IP, sélectionnez l'adaptateur adéquat (s'il s'agit d'un serveur multi-résident).
Par défaut, aucun filtre n'est défini et tout le trafic TCP, UDP et IP est autorisé (voir la Figure 3.1). Pour activer les filtres, cochez la case Autoriser seulement du protocole TCP, UDP ou IP et ajoutez les numéros de port et de protocole sur lesquels vous voulez autoriser le trafic. Veillez à permettre l'exécution des services d'infrastructure de base.
.gif)
Figure 3.1 Configuration du filtrage de port natif de Windows NT
.gif)
Configuration des paramètres de réglage IP de Windows NT 4.0
Configurer les paramètres de réglage IP de Windows NT IP consiste à modifier les paramètres de registre suivants.
Attention: une modification des paramètres servant à régler la pile TCP/IP change la façon dont le sous-système réseau communique avec les routeurs, les commutateurs et les autres ordinateurs du réseau. Ces modifications peuvent affecter les performances ou la stabilité des applications de production. Avant d'effectuer une quelconque modification de l'environnement de production, vous devriez tester avec soin les modifications proposées dans un environnement de laboratoire reproduisant le comportement et la configuration de vos serveurs et clients de production.
Pour configurer les paramètres de réglage IP pour serveur de Windows NT
Exécutez l’Éditeur de Registre (Regedt32.exe).
Vérifiez que les entrées de registres suivantes (TCP_Params.reg) sont appliquées à la clé HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters :
SynAttackProtect (REG_DWORD) = 2
TcpMaxHalfOpen (REG_DWORD) = 100
TCPMaxHalfOpenRetried (REG_DWORD) = 80
TCPMaxPortsExhausted (REG_DWORD) = 5
TCPMaxConnectResponseRetransmissions (REG_DWORD) = 1
KeepAliveTime (REG_DWORD) = 7200000
KeepAliveInterval (REG_DWORD) = 1000
EnablePathMTUDiscovery (REG_DWORD) = 1
EnablePathMTUBHDetect (REG_DWORD) = 0
DisableIPSourceRouting (REG_DWORD) = 2
EnableDeadGWDetect (REG_DWORD) = 0
PerformRouterDiscovery (REG_DWORD) = 0
EnableICMPRedirect (REG_DWORD) = 0
Vérifiez que les entrées de registre suivantes (AFD_Params.reg) sont appliquées à la clé HKLM\SYSTEM\CurrentControlSet\Services\AFD\Parameters :
EnableDynamicBacklog (REG_DWORD) = 1
MinimumDynamicBacklog (REG_DWORD) = 20
MaximumDynamicBacklog (REG_DWORD) = 144000
DynamicBacklogGrowth-Delta (REG_DWORD) = 10
Vérifiez que les entrées de registre suivantes (DisableDCOM.reg) sont appliquées à la clé HKLM\SOFTWARE\Microsoft\OLE :
EnableDCOM (REG_SZ) = N
Attention: la désactivation du DCOM a pour effet de désactiver plusieurs fonctionnalités de gestion à distance de base et certaines applications telles que les extensions de client Directory Services, le WMI, la capacité à gérer les partages d'impression et de fichiers à distance, et autres. Testez cette modification avec soin en laboratoire avant de l'appliquer à vos serveurs de production.
Si vous êtes certain qu'aucun service, application ou utilitaire non basé sur RPC n'est en cours d'utilisation, supprimez les sous-clés suivantes :
HKLM\SOFTWARE\Microsoft\RPC\ClientProtocols\ncacn_ip_tcp
HKLM\SOFTWARE\Microsoft\RPC\ClientProtocols\ncacn_ip_udp
HKLM\SOFTWARE\Microsoft\RPC\ServerProtocols\ncacn_ip_tcp
HKLM\SOFTWARE\Microsoft\RPC\ServerProtocols\ncacn_ip_udp
Quittez l'Éditeur de registre.
Pour configurer les paramètres de réglage IP pour station de travail de Windows NT
Exécutez l’Éditeur de Registre (Regedt32.exe).
Vérifiez que les entrées de registre suivantes (NT4WS_TCP_Params.reg) sont appliquées à la clé HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters :
SynAttackProtect (REG_DWORD) = 2
TcpMaxHalfOpen (REG_DWORD) = 100
TCPMaxHalfOpenRetried (REG_DWORD) = 80
TCPMaxPortsExhausted (REG_DWORD) = 5
TCPMaxConnectResponseRetransmissions (REG_DWORD) = 1
KeepAliveTime (REG_DWORD) = 3600000
KeepAliveInterval (REG_DWORD) = 1000
EnablePathMTUDiscovery (REG_DWORD) = 1
EnablePathMTUBHDetect (REG_DWORD) = 0
DisableIPSourceRouting (REG_DWORD) = 2
EnableDeadGWDetect (REG_DWORD) = 0
PerformRouterDiscovery (REG_DWORD) = 0
EnableICMPRedirect (REG_DWORD) = 0
Vérifiez que les entrées de registre suivantes (NT4WS_AFD_Params.reg) sont appliquées à la clé HKLM\SYSTEM\CurrentControlSet\Services\AFD\Parameters :
EnableDynamicBacklog (REG_DWORD) = 1
MinimumDynamicBacklog (REG_DWORD) = 20
MaximumDynamicBacklog (REG_DWORD) = 72000
DynamicBacklogGrowth-Delta (REG_DWORD) = 10
Quittez l'Éditeur de registre.
Résumé
La mise en application du concept d'un réseau de périmètre est un moyen efficace de sécuriser des systèmes anciens. Il offre une protection supplémentaire intégrée à la conception et à la configuration d'ensemble de tout le réseau. Ces goulots d'étranglement naturels, associés au contrôle du trafic fourni par les logiciels de pare-feu personnels et les fonctionnalités de réglage IP et de filtrage natif des ports de Windows NT 4.0 vous offrent plusieurs couches de protection qui consolident les méthodes de renforcement spécifiques présentées dans les prochains chapitres de ce guide.
Informations complémentaires
La liste de diffusion NTBUGTRAQ est une excellente ressource consacrée à la discussion des problèmes de sécurité actuels de Windows. Russ Cooper, le modérateur de la liste, n'est pas affilié à Microsoft mais il est extrêmement qualifié. Pour vous inscrire auprès de cette liste ou en lire des articles d'archives, rendez-vous à l'adresse www.ntbugtraq.com/.
Le centre de coordination CERT (CERT/CC) est un centre d'information centralisé sur la sécurité proposant conseils et bulletins de sécurité. Des informations complémentaires sont disponibles sur le site www.cert.org/.
L'institut SANS offre un éventail de formations, de certifications et de recherches sur les problèmes de la sécurité informatique. Des informations complémentaires sont disponibles sur le site www.sans.org/.
L'US-CERT (US Computer Emergency Readiness Team) s'intéresse principalement aux avis de sécurité informatique et aux menaces concernant les États-Unis, mais cette entité constitue néanmoins une bonne source d'informations sur les menaces actuelles. Des informations complémentaires sont disponibles sur le site www.us-cert.gov/.
La National Security Agency propose plusieurs guides de configuration sécurisée s'appliquant à de nombreux systèmes d'exploitation et applications sur le site www.nsa.gov/snac/.
RRAS pour Windows NT 4.0 est disponible sur la page Routing and Remote Access Service Download (Téléchargement de services de routage et d'accès à distance) à l'adresse http://www.microsoft.com/ntserver/nts/downloads /winfeatures/rras/rrasdown.asp.