Planification de la sécurité réseau

La sécurité réseau constitue peut-être l'aspect le plus vital et le plus difficile de la planification du réseau. Votre connexion réseau doit permettre au trafic légitime de pénétrer tout en empêchant le trafic illégitime d'entrer.

Avant de commencer
__ Etablissez la liste des points d'entrée dans votre réseau.
__ Créez une stratégie de sécurité pour l'entreprise de laquelle va découler la stratégie de sécurité du réseau. Cette stratégie va comprendre des règles sur l'accès aux informations confidentielles et sensibles et les mesures à prendre dans le cas d'une infraction et selon son auteur.
Tâches de planification de la sécurité réseau
__ Etablissez une stratégie de sécurité réseau
A partir de la stratégie de sécurité de votre entreprise, développez une stratégie de sécurité réseau. Les éléments suivants sont recommandés :
  • Création d'un pare-feu

    Une stratégie de sécurité adéquate comprend l'utilisation d'un pare-feu pour filtrer le trafic qui pénètre dans le réseau et qui en sort. Ce pare-feu doit restreindre les données en fonction du protocole utilisé et interrompre le trafic si ce protocole ne correspond pas au port par lequel les données tentent de transiter. Il doit également limiter strictement les ports ouverts pour empêcher les intrus de pénétrer dans le réseau de l'entreprise.

  • Isolement des informations confidentielles

    Tout système comporte des informations confidentielles ou sensibles qui ne doivent pas être directement accessibles depuis l'extérieur. En outre, l'accès à de tels systèmes doit être restreint de l'intérieur ; seul les utilisateurs authentifiés doivent pouvoir y accéder.

  • Création d'une zone démilitarisée

    Une zone démilitarisée est une zone en dehors du pare-feu dans laquelle des transactions peuvent avoir lieu sans mettre en danger le réseau. Tout accès anonyme au réseau doit rester dans la zone démilitarisée.

  • Développement d'une méthode d'authentification

    L'authentification est le processus qui consiste à demander un ID utilisateur et un mot de passe, ou tout autre forme d'authentification basée sur des certificats, pour l'accès à un domaine du réseau. Une authentification doit être obligatoire pour tout accès direct au réseau intranet de l'entreprise. Tout accès direct via le pare-feu doit également nécessiter une authentification. Prévoyez d'utiliser les meilleures pratiques en matière d'ID utilisateur et de mot de passe, qui comprennent des mots de passe longs (au moins 8 caractères), des mots de passe mixtes (une combinaison de lettres, de chiffres, de symboles majuscules et minuscules) et des mots de passe modifiés régulièrement (tous les deux ou trois mois).

  • Développement d'un système de chiffrement

    Le chiffrement est le processus qui consiste à convertir toutes les données en code déchiffrable uniquement par un système de clés privées et publiques. Toutes les données sensibles quittant le réseau de l'entreprise doivent être chiffrées. Toutes les données sensibles circulant depuis des bureaux distants vers le réseau doivent également être chiffrées.

  • Développement d'un système de blocage d'ingénierie sociale

    L'ingénierie sociale est le processus qui consiste à se faire passer pour des personnes dignes de confiance au téléphone afin de collecter des informations sensibles, telles que les mots de passe et des informations organisationnelles de l'entreprise. Il s'agit d'une technique courante utilisée par les pirates informatiques pour accéder à des réseaux. Le fait de former les employés à ne jamais divulguer de telles informations par téléphone constitue la seule défense contre ce type de violation de la sécurité.

Pour savoir comment planifier votre stratégie de sécurité réseau, reportez-vous au chapitre concernant la sécurité IP dans le manuel IP Network Design Guide.Lien vers PDF
__ Planifiez une une architecture de sécurité IPSec L'architecture IPSec est une architecture de sécurité ouverte et normalisée, qui fournit les fonctions suivantes :
  • Intégrité des données (empêche les attaques basées sur des données incorrectes)
  • Protection contre la réexécution (empêche les attaques basées sur la réexécution de messages)
  • Création sécurisée et régénération automatique de clés de chiffrement
  • Algorithmes de chiffrement performants
  • Authentification basée sur des certificats
IPSec comprend plusieurs protocoles exécutant chacun l'une de ces fonctions. De nombreux produits de sécurité utilisent IPSec comme architecture de base.

Pour en savoir plus sur IPSec, reportez-vous au chapitre concernant la sécurité IP dans le manuel IP Network Design Guide.Lien vers PDF
__ Planifiez les réseaux privés virtuels

Les réseaux privés virtuels (VPN) utilisent IPSec pour créer une connexion privée sécurisée, ou tunnel, par le biais d'un réseau public tel qu'Internet. Plusieurs outils permettant de transformer des connexions Internet classiques en réseaux privés virtuels sont disponibles pour chaque plateforme. Si l'on prend en compte les besoins de communication entre les utilisateurs éloignés, les filiales et les partenaires d'une entreprise, les réseaux privés virtuels constituent une méthode essentielle pour chiffrer et authentifier les informations entre les noeuds éloignés du réseau d'une entreprise.

Pour savoir comment implémenter un réseau privé virtuel, reportez-vous au chapitre concernant la sécurité IP dans le manuel IP Network Design Guide.Lien vers PDF
__ Planifiez la protection contre les virus et les logiciels espions

Les virus et autres logiciels nuisibles, appelés logiciels malveillants, se déguisent en contenu métier légitime pour ensuite exécuter des activités nuisibles une fois qu'ils ont pénétré à l'intérieur de l'entreprise. Les logiciels malveillants constituent la forme la plus répandue de violation de la sécurité réseau. Chaque hôte de votre réseau doit être équipé d'un antivirus et d'applications de protection contre les logiciels espions avec mise à jour hebdomadaire et exécution au moins une fois par semaine. Ces programmes sont conçus pour bloquer les logiciels malveillants avant qu'ils ne puissent se dupliquer sur votre réseau.

Pour savoir comment prévenir les infections des virus et des logiciels espions, reportez-vous au chapitre concernant la sécurité IP dans le manuel IP Network Design Guide.Lien vers PDF

Une fois que vous avez effectué les tâches décrites dans la présente rubrique, votre plan de mise en oeuvre de la sécurité réseau doit identifier les éléments suivants :

__ Notez une stratégie de sécurité réseau qui comprend des pare-feu, des zones démilitarisées, des règles d'accès pour les informations sensibles, une authentification, un chiffrement et une formation contre l'ingénierie sociale.
__ Consignez une topologie de votre architecture de sécurité comprenant les zones qui nécessitent un accès authentifié, les zones qui sont protégées par des pare-feu, les points de connexion des zones démilitarisées et les utilisateurs ou les bureaux distants qui utilisent des réseaux privés virtuels.
__ Etablissez la liste des applications antivirus et de protection contre les logiciels espions que vous prévoyez de charger sur les machines hôte. Développez une stratégie de mises à jour hebdomadaires et configurez les hôtes pour une exécution automatique de ces applications au moins une fois par semaine.
Sujet parent : Planification des communications réseau
Envoyer un commentaire | Evaluer la page