Sécurité du réseau - Contrôle d'accès
Le contrôle d'accès au réseau est une méthode permettant d'améliorer la sécurité d'un réseau organisationnel privé en limitant la disponibilité des ressources réseau aux périphériques d'extrémité conformes à la politique de sécurité de l'organisation. Un schéma de contrôle d'accès réseau typique comprend deux composants principaux tels que l'accès restreint et la protection des limites du réseau.
L'accès restreint aux périphériques réseau est obtenu grâce à l'authentification des utilisateurs et au contrôle d'autorisation qui est responsable de l'identification et de l'authentification des différents utilisateurs auprès du système réseau. L'autorisation est le processus d'octroi ou de refus d'autorisations d'accès spécifiques à une ressource protégée.
Network Boundary Protectioncontrôle la connectivité logique dans et hors des réseaux. Par exemple, plusieurs pare-feu peuvent être déployés pour empêcher tout accès non autorisé aux systèmes du réseau. Des technologies de détection et de prévention des intrusions peuvent également être déployées pour se défendre contre les attaques d'Internet.
Dans ce chapitre, nous aborderons les méthodes d'identification et d'authentification des utilisateurs pour l'accès au réseau, suivies de divers types de pare-feu et de systèmes de détection d'intrusion.
Sécurisation de l'accès aux périphériques réseau
Restreindre l'accès aux appareils sur le réseau est une étape très essentielle pour sécuriser un réseau. Étant donné que les périphériques réseau comprennent des équipements de communication ainsi que des équipements informatiques, les compromettre peut potentiellement faire tomber un réseau entier et ses ressources.
Paradoxalement, de nombreuses organisations assurent une excellente sécurité de leurs serveurs et applications mais laissent les périphériques réseau communicants avec une sécurité rudimentaire.
Un aspect important de la sécurité des périphériques réseau est le contrôle d'accès et l'autorisation. De nombreux protocoles ont été développés pour répondre à ces deux exigences et améliorer la sécurité du réseau à des niveaux plus élevés.
Authentification et autorisation des utilisateurs
L'authentification de l'utilisateur est nécessaire pour contrôler l'accès aux systèmes de réseau, en particulier aux dispositifs d'infrastructure de réseau. L'authentification a deux aspects: l'authentification d'accès général et l'autorisation fonctionnelle.
L'authentification d'accès général est la méthode permettant de contrôler si un utilisateur particulier a «n'importe quel» type de droit d'accès au système auquel il tente de se connecter. Habituellement, ce type d'accès est associé à l'utilisateur ayant un «compte» avec ce système. L'autorisation concerne les «droits» des utilisateurs individuels. Par exemple, il décide de ce qu'un utilisateur peut faire une fois authentifié; l'utilisateur peut être autorisé à configurer l'appareil ou à afficher uniquement les données.
L'authentification de l'utilisateur dépend de facteurs qui incluent quelque chose qu'il sait (mot de passe), quelque chose qu'il possède (jeton cryptographique) ou quelque chose qu'il est (biométrique). L'utilisation de plus d'un facteur pour l'identification et l'authentification fournit la base de l'authentification multifacteur.
Authentification par mot de passe
Au niveau minimum, tous les périphériques réseau doivent disposer d'une authentification par nom d'utilisateur et mot de passe. Le mot de passe doit être non trivial (au moins 10 caractères, alphabets mixtes, nombres et symboles).
En cas d'accès à distance par l'utilisateur, une méthode doit être utilisée pour s'assurer que les noms d'utilisateur et les mots de passe ne sont pas transmis en clair sur le réseau. En outre, les mots de passe doivent également être modifiés à une fréquence raisonnable.
Méthodes d'authentification centralisées
Le système d'authentification basé sur un appareil individuel fournit une mesure de contrôle d'accès de base. Cependant, une méthode d'authentification centralisée est considérée comme plus efficace et efficiente lorsque le réseau comporte un grand nombre d'appareils avec un grand nombre d'utilisateurs accédant à ces appareils.
Traditionnellement, l'authentification centralisée était utilisée pour résoudre les problèmes rencontrés dans l'accès au réseau à distance. Dans les systèmes d'accès à distance (RAS), l'administration des utilisateurs sur les périphériques réseau n'est pas pratique. Placer toutes les informations utilisateur dans tous les appareils, puis maintenir ces informations à jour est un cauchemar administratif.
Les systèmes d'authentification centralisés, tels que RADIUS et Kerberos, résolvent ce problème. Ces méthodes centralisées permettent aux informations utilisateur d'être stockées et gérées en un seul endroit. Ces systèmes peuvent généralement être intégrés de manière transparente à d'autres schémas de gestion de compte utilisateur tels que les annuaires Active Directory ou LDAP de Microsoft. La plupart des serveurs RADIUS peuvent communiquer avec d'autres périphériques réseau dans le protocole RADIUS normal, puis accéder en toute sécurité aux informations de compte stockées dans les répertoires.
Par exemple, le serveur d'authentification Internet (IAS) de Microsoft relie RADIUS et Active Directory pour fournir une authentification centralisée aux utilisateurs des appareils. Il garantit également que les informations du compte utilisateur sont unifiées avec les comptes de domaine Microsoft. Le diagramme ci-dessus montre un contrôleur de domaine Windows fonctionnant à la fois en tant que serveur Active Directory et serveur RADIUS pour que les éléments du réseau s'authentifient dans un domaine Active Directory.
Listes de contrôle d'accès
De nombreux périphériques réseau peuvent être configurés avec des listes d'accès. Ces listes définissent les noms d'hôte ou les adresses IP autorisés à accéder à l'appareil. Il est courant, par exemple, de restreindre l'accès aux équipements réseau à partir des adresses IP, à l'exception de l'administrateur réseau.
Cela protégerait alors contre tout type d'accès qui pourrait être non autorisé. Ces types de listes d'accès constituent une dernière défense importante et peuvent être assez puissants sur certains appareils avec des règles différentes pour différents protocoles d'accès.