La sécurisation d’un petit réseau informatique

par | Nov 27, 2017 | Actualités | 0 commentaires

La sécurisation d’un petit réseau informatique

Derrière notre box ADSL ou fibre, le déploiement de postes de travail se fait facilement. L’activation du WiFi connecte nos médias mobiles, puis ceux de nos clients et partenaires. Le partage de ressources nous offre de plus en plus de souplesse et de confort dans notre travail, et petit à petit le réseau local se diversifie et s’enrichit de fonctionnalités vite indispensables. Mais les dangers nous guettent : quid de la sécurité ? je présente ici une méthode efficace pour sécuriser un réseau local : la mise en place de sous-réseaux publics / privés.

Un cas d’école

Un cas peut être… pas unique !

La box de connexion à internet est reliée à plusieurs prises réseau, ainsi plusieurs ordinateurs bénéficient d’une connexion constante et de qualité. Le réseau WiFi connecte ce même réseau aux médias mobiles et, pour faciliter le transfert de données avec les ordinateurs portables, des partages ont été activés donnant accès aux différents fichiers de l’entreprise à tous ceux qui sont connectés au réseau.

En salle de réunion tout le monde se connecte par le WiFi : les codes d’accès sont affichés sur la porte d’entrée, à la disposition de clients, de partenaires et d’invités. Quand la salle de réunion a été prêtée pour la réunion de copropriété, tout le monde a pu inscrire ses appareils au réseau WiFi. Depuis, le voisin chercheur d’emploi, assis dans sa voiture, utilise notre réseau pour effectuer ses recherches d’emploi, limitant ainsi les dépenses pour son forfait mobile.

Même le facteur a pu noter nos codes d’accès sans fil, et profite du réseau lors de sa tournée.

Au fil du temps, le réseau privé devient un réseau… presque publique, et finalement, même à notre insu, des personnes pourraient y avoir accès, voire communiquer les modalités d’accès à des tiers.

De plus, bien que nos postes de travail soient sécurisés avec les dernières mises à jour du système et avec le meilleur des antivirus, le poste du voisin au delà de la cloison pourrait être sous l’emprise d’un cheval de troie essayant toutes les combinaisons possibles pour entrer dans nos archives confidentiels.

Dans le pire des cas notre propre infrastructure, une fois attaquée et infectée, pourrait servir pour des des opérations de cybercriminalité d’envergure vers des gros centres de données, ou vers des organisations gouvernementales. Nous pourrions ainsi nous retrouver impliqués, de façon totalement inattendue, dans une enquête de police.

Avant que l’irréparable se produise, la newsletter de FBServices nous fait prendre conscience de cette manque de sécurité. Comment faire pour améliorer la sécurité du réseau, sans pour autant perdre le confort d’utilisation auquel tout le monde s’est déjà habitué ?

FBServices peut intervenir dans vos locaux pour la mise en place et le maintien de vos équipements informatiques. Spécialisé dans les structures de petite taille (associations et PME) je peux mettre mes compétences au service de votre infrastructure informatique.

N’hésitez pas à me contacter pour discuter de vos besoins et de vos projets

Avant toute chose, des bonnes pratiques

Avant de présenter une solution technique possible, je tiens à souligner l’importance de quelques bonne pratiques toujours nécessaires, quelque soient les solutions techniques adoptées. Une rapide recherche sur internet donne accès à une littérature riche et abondante à ce sujet. Je souligne notamment :

  • Choisir des mots de passe assez longs (je dirais 8 ou plus caractères) et composés de lettres, chiffres et symboles.
    Pour retenir plus facilement nos codes, on peut utiliser différentes techniques mnémotechniques : par exemple retenir les premiers caractères d’un proverbe, en remplaçant les « i » par des « 1 » et les « o » par des « 0 » (des zéros). Ainsi « À force de mal aller tout ira bien » donnera « Afdmat1b ».
  • Ne pas utiliser le même mot de passe pour plusieurs applications.
    Surtout utiliser un mot de passe unique pour les applications sensibles comme les comptes bancaires, la messagerie internet, les impôts etc.
  • Maintenir à jour les systèmes et les applications. Tous les jours de nouvelle vulnérabilité sont découvertes, et les éditeurs s’appliquent pour publier des correctifs le plus rapidement possible. Lors d’une attaque, ce sont les vulnérabilité connues qui sont exploitées souvent pour s’introduire dans les systèmes.
  • Appliquer les bonnes règles sur tous ses outils connectés : ordinateur de bureau, ordinateur portable, smartphones et tablettes. En effet, c’est le maillon plus faible qui détermine la qualité de l’ensemble. Dans la mesure du possible séparer ce qui est de l’ordre personnel et familial (accessible parfois aux enfants…) et ce qui est strictement professionnel.

Pour aller plus loin dans les bonnes pratiques :

Guide CPME des bonnes pratiques

Un réseau, des sous-réseaux

Un réseau simple : tous les équipements connectés entre eux

Je présente ici une méthode que j’ai expérimenté, et qui permet la sécurisation d’un réseau sans perdre le confort d’utilisation du réseau unique. C’est une solution à faible coût, car elle ne requiert pas le déploiement d’un nouveau câblage dans les locaux, et s’appuie sur des équipements aux coûts abordables.

Normalement les différentes prises réseau sont reliées à un « switch », chargé d’interconnecter les différents appareils du réseau entre eux et au « routeur » (souvent la box même) qui relie le réseau à internet.

La sécurisation passe par la répartition des connexions sur plusieurs sous-réseaux, où chaque sous-réseau a accès à internet mais il ne peut pas accéder sur les équipements des autres sous-réseaux. Les données sensibles sont connectées à un sous-réseau protégé dont les codes d’accès sont communiqués seulement aux personnes de confiance.

Des exceptions peuvent être définies, comme par exemple l’accès à une imprimante partagée, commun à tous les sous-réseaux.

Des sous-réseaux : un découpage logique du réseau local

La sécurisation des accès se fait en séparant le réseau local en plusieurs sous-réseaux. Chaque sous-réseau communique avec les appareils qui y sont connectés, mais ne peut pas accéder aux équipements connectés aux sous-réseaux adjacents.

Le routeur est chargé de la gestion de ces sous-réseaux : il détient les « règles de routage » qui régissent les communications d’un sous-réseau à un autre, voire vers l’internet. Le choix du routeur est fait en fonction du nombre de sous-réseaux demandés.

Les bornes WiFi, les plus exposées aux accès extérieurs, sont connectées à un réseau « public » qui n’a pas accès aux données de l’entreprise.

Des réseaux virtuels

Simplifier le câblage

La mise en place de plusieurs sous-réseaux peut devenir complexe quand les équipements sont dans des différents locaux, et la logique de connexion ne correspond pas forcément à la proximité physique de chaque appareil.

Par exemple plusieurs bornes WiFi situées à différents étages doivent être toutes connectées au même sous-réseau « public ».

Pour traiter cela, des câblages multiples devraient relier les différents étages et locaux, ce qui le plus souvent n’est pas aisé de réaliser. De plus, des éventuelles modifications et réorganisations futures pourraient exiger de nouveaux câblages pour répondre à des exigences nouvelles.

Le maintien de cette structure, finalement, pourrait devenir complexe et coûteux.

Une nouvelle solution s’impose, afin de simplifier le câblage et la maintenance d’un système multi-réseaux.

 

Les VLANs : des sous-réseaux virtuels

L’utilisation de « switch administrables » offre une solution simple et souple pour la distribution de plusieurs réseaux utilisant le câblage en place. Ce type d’équipement permet de définir des VLANs (Virtual Local Networks) transitant sur le même câble reliant deux switches entre eux.

Chaque VLAN est étanche aux autres, et peut être attribué à une ou à plusieurs terminaisons de chaque switch.

Tous les VLANs sont connectés au routeur, qui applique les règles de routage programmées pour obtenir le comportement souhaité.

 

Les switches du commerce disposent de 8, 16, 24 ou plus ports de connexion : à chaque port peut être connecté un équipement (ordinateur, imprimante, borne WiFi etc).

Les switches administrables permettent, par configuration, de connecter chaque port au VLAN de son choix. Le déploiement d’un réseau gagne ainsi une grande souplesse, et peut être facilement adapté aux besoins futurs : ajout de nouveaux VLANs, extension du réseau par connexion d’un switch supplémentaire, reconfiguration des accès poste par poste.

En connectant les bornes WiFi à un VLAN spécifique, ayant le seul droit de connexion à internet, on évite toute possibilité d’attaque par ce canal de communication.

Plusieurs réseaux WiFi pourraient aussi cohabiter, chacun connecté à un VLAN différent, et proposer des accès distincts : par exemple un WiFi pour les visiteur et un deuxième WiFi réservé aux employés.

L’administrateur, à partir d’un poste connecté au réseau, accéde aux interface d’administration des switches et du routeur.
De nombreux équipements réseau fournissent aussi des fonctionnalités supplémentaires d’analyse et de reporting sur l’activité observée sur le réseau.

Des années d’expériences diverses, dans le développement d’applications mais aussi dans l’administration des systèmes et des réseaux, dans la gestion de projet et dans le dépannage et le conseil me donnent un profil ouvert et réfléchi. Mes clients et amis me perçoivent comme un ingénieur généraliste compétent, un homme de confiance et d’ouverture.

N’hésitez pas à me contacter pour discuter de vos besoins et de vos projets

Voir les autres actualités

Poster le commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *