Home » Internet, Vie associative

Comment devenir son propre FAI (7 – Sécurité)

17 août 2010 aucun commentaire
tags : , , , , ,
Download PDF

Lorsqu’on parle de sécurité pour un FAI, on a affaire à trois secteurs différents.

Le premier, le plus évident, c’est la sécurité du réseau en lui-même. La dessus, il ne vaut mieux pas lésiner, il est en effet un peu enquiquinant d’avoir un routeur BGP ou un switch corrompu.

Pour les équipements purement réseau (switchs, points d’accès wireless, …), vous pouvez vous reposer sur les ACL (Access Control List) qui vous permettent de limiter l’accès à l’équipement à une liste d’IP prédéfinie. De manière générale, on n’active que le snmp (pour pouvoir récolter des statistiques sur l’utilisation de l’équipement) et ssh ou telnet selon notre religion. De plus en plus d’équipements vous proposent des interfaces web qu’il convient de désactiver manu militari.

L’outil magique pour contrôler la sécurité de base qui consiste a tout fermer est nmap qui doit être lancé à la fois depuis une IP autorisée et depuis une IP quelconque ailleurs sur internet pour vérifier que l’IP autorisée n’accède bien qu’a ce qu’on veut et que les autres n’ont bien accès à rien.

Les routeurs basé sur des logiciels opensource (quagga, openbgp, …) ne sont en réalité que des serveurs affectés à un rôle de routage. Il convient de ne pas tout mélanger et donc d’appliquer les mêmes principe qu’avec un switch : snmp, ssh et le service de routage. Exit les serveurs web, ftp ou autre sur les machines qui assurent le transport des données.

Voila pour la partie sécurité applicative. Il vous faut ensuite gérer d’éventuelles attaques de type flood qui consistent à saturer les liens du réseau pour le rendre inutilisable, surtout si vos liens vers internet sont un peu étroits. Pour ce genre de défense, il n’y a pas de recette magique, l’important est de bien suivre ce qui se passe sur le réseau et d’avoir de bonnes statistiques. Un flux entrant important arrive ? Il est impératif de pouvoir trouver ou il va en quelques minutes pour pouvoir demander à votre fournisseur de couper le flux en question avant qu’il ne traverse le goulet d’étranglement qu’est votre connexion vers le reste d’internet. Idem dans le cas du flux sortant (la machine d’un de vos utilisateur est compromise et sert à flooder ailleurs), sauf que dans ce cas c’est vous qui pouvez couper le lien de l’utilisateur.

L’environnement wireless, si c’est le cas de votre projet, rends les choses un peu plus complexes mais il est important de suivre tout ce qui se passe (article à venir sur le monitoring réseau & applicatif)

Votre réseau devait, à présent, être à peu près protégé.

Viennent ensuite les applications que vous gérez pour vos utilisateurs. Il s’agit généralement de serveurs DNS, mail, web et ftp (sans que ce soit limitatif). Le plus pratique est de tous les enfermer derrière un firewall commun qui vous assurera, si les machines sont utilisées par beaucoup de gens, d’avoir un minimum de contrôle sur ce qui circule (en entrant comme en sortant).

Le nerf de la guerre en matière de sécurité est de tenir à jour l’ensemble des applications fonctionnant sur les machines. Un gros firewall devant un serveur web ne sert quasiment à rien si la version de PHP utilisée est pleine de trous. Beaucoup de systèmes d’exploitation libres embarquent aujourd’hui les outils nécessaire au suivi des évolutions de version (portaudit, par exemple, pour ce qui concerne FreeBSD), il ne faut surtout pas s’en priver, et mieux vaut une interruption régulière de quelques minute sur un service que de se retrouver avec une machine compromise.

Le dernier secteur a prendre en compte, ce sont les utilisateurs eux-mêmes. Puisque vous êtes bien décidés à fournir du vrai internet, chacun de vos utilisateur aura donc une ou plusieurs adresses IP publiques et seront donc en première ligne face à toutes les saloperies qui circulent sur le réseau. Les moyens de protections des utilisateurs sont plus un choix politique que technique. Soit vous décrétez que vous vous en fichez complètement et vous laissez tout passer en recommandant aux gens d’installer antivirus et firewall idoines sur leur windows, soit vous fermez tout l’entrant en donnant la possibilité aux personnes averties de l’ouvrir manuellement.

Il existe, entre les deux, une infinité de déclinaisons. Par exemple, Orange à fermé le port 25 en sortie. Ça ne protège absolument pas leurs utilisateurs mais ça leur évite de recevoir un bon paquet de plainte pour spam qui ont pour origine les machines vérolées qui sont chez leurs clients. Certains FAI ferment les ports 137, 138 et 139 qui sont utilisés pour le partage de fichiers entre machine windows pour éviter qu’un utilisateur distrait ne partage toute sa collection de documents perso avec la terre entière.

Toutes ces actions vont, ceci dit, clairement contre la neutralité des réseaux. Il est donc plutôt conseillé de passer du temps à éduquer ses utilisateurs que de le passer à verrouiller des portes. Un peu comme avec un enfant, ça ne sert à rien de mettre un four à porte froide et une barrière devant la cheminée, ils ne comprendront que c’est dangereux qu’une fois qu’ils auront mis la main dessus, et une fois que ce sera fait, il n’y aura plus besoin de barrière ou de porte froide. A contrario, si vous laissez des dispositifs de sécurité trop drastiques, ils n’auront conscience que très tard du danger du feu et pourront donc potentiellement être victimes d’accident plus graves.

Je vous toucherais prochainement deux mots des services qu’un FAI se doit (ou pas) de fournir à ses abonnés.

Leave your response!

Add your comment below, or trackback from your own site. You can also subscribe to these comments via RSS.

Be nice. Keep it clean. Stay on topic. No spam.

You can use these tags:
<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

This is a Gravatar-enabled weblog. To get your own globally-recognized-avatar, please register at Gravatar.


7 − = six