Best practices of Secure routing

1-INTRODUCTION

Dans cet article nous verrons la théorie du trafic de filtrage entrant, comment ça fonctionne ; à quel endroit placer les pare-feu, les règles de filtrage etc.                                                                   L’objectif est d’avoir un réseau sécurisé.

2-BONNES PRATIQUES DE ROUTAGE SÉCURISÉ

En ce qui concerne le trafic réseau, il est important d’établir un processus de filtrage qui identifie et bloque les cyberattaques potentielles, telles que les vers propageant des ransomwares (C’est un logiciel malveillant, prenant en otage les données) et les intrus exploitant les vulnérabilités, tout en permettant le flux de trafic légitime.  Dans cet article, j’explore les bonnes pratiques de routage sécurisé.

Avant de commencer à explorer les bonnes pratiques, il est important de noter que ces recommandations s’adressent aux grandes organisations et aux agences gouvernementales et ne seraient probablement pas appropriées pour un réseau domestique ou un réseau de très petites entreprises.  Par exemple, dans une petite entreprise ou un réseau domestique, les pare-feu (c’est un logiciel dont la principale fonction est d’assurer la sécurité d’un réseau) et les routeurs peuvent être regroupés en un seul appareil.  Cet article se concentrera principalement sur les réseaux d’entreprise plus importants où le routeur Internet et le pare-feu sont répartis en différents appareils, comme le montre la figure ci-dessous.

Il est important de noter que ce message se concentrera principalement sur le filtrage du trafic entrant.  Le filtrage du trafic sortant est également très important pour les organisations.

 3- LAISSEZ VOS ROUTEURS ROUTER

La philosophie de nombreux administrateurs réseau est de laisser vos routeurs router.  Dans un réseau plus grand avec des appareils spécialisés, vous voulez laisser le routeur Internet faire son travail principal, qui est de transmettre le trafic.  Cela dit, il existe des exceptions où les problèmes de trafic / sécurité nécessiteront un blocage de base sur le routeur Internet.  Voici quelques principes à garder à l’esprit :

  • N’ajoutez pas d’entrée de liste de contrôle d’accès (ACL) pour chaque adresse IP suspecte.

Le problème avec cette approche est qu’elle crée un ACL massif.  Le routeur Internet doit désormais traiter chaque entrée de l’ACL lors du filtrage du trafic.  Cette approche complique également la tâche des personnes qui gèrent l’ACL, car les administrateurs réseau doivent déterminer pourquoi une entrée particulière a été ajoutée à l’ACL et si cette entrée est toujours nécessaire.  De plus, pour les appareils qui traitent une liste de contrôle d’accès dans l’ordre de haut en bas, une liste de contrôle d’accès plus longue et plus compliquée rend plus difficile de s’assurer que vous avez placé de nouvelles entrées exactement au bon endroit.

  • Filtrer les bogons. La liste des bogons représente une classe entière d’adresses IP privées et réservées.

Selon Team Cymru, qui maintient la liste la plus à jour des bogons, « un préfixe de bogon est un itinéraire qui ne devrait jamais apparaître dans la table de routage Internet. Un paquet routé sur Internet public (sans compter les VPN ou autres tunnels) ne doit jamais avoir d’adresse source dans une plage de bogon. Celles-ci sont généralement les adresses source des attaques DDoS.  »

Bien que nous ne voulions pas que le routeur Internet agisse comme un pare-feu, la liste des bogons représente un moyen simple d’éliminer le trafic manifestement mauvais à la frontière de votre réseau, sans avoir besoin d’une inspection approfondie, de la vérification des tables d’état ou des entrées ACL compliquées.

Si vous filtrez des bogons, cependant, il est important que vous gardiez vos filtres à jour.  La liste des bogons peut changer car les adresses IP précédemment non allouées sont attribuées par les Registres Internet Régionaux (RIRs).

  • Bloquer le trafic entrant provenant de vos propres adresses IP. Sur le routeur Internet, il est important de bloquer tout trafic externe provenant d’une adresse IP interne.  Par exemple, si vous avez votre propre bloc d’adresses alloué, vous ne devriez pas voir le trafic externe provenant d’une de vos adresses internes.  Si vous voyez du trafic provenant de votre propre espace IP interne essayer d’accéder à votre réseau à partir d’Internet, cela suggère soit que quelqu’un usurpe vos adresses pour essayer de vous nuire, soit qu’un problème de routage s’est produit.  Il est important de bloquer ce type de trafic sur le routeur Internet car il est très possible que le trafic prétendument provenant de votre espace IP interne ne soit soumis à un filtrage limité qu’une fois qu’il parvient à votre réseau interne.

En résumé, lorsque vous envisagez de filtrer au niveau du routeur Internet

  • Ne jouez pas avec des systèmes de filtrage complexes pour bloquer toutes les adresses IP suspectes.
  • Concentrez-vous sur le blocage des bogons et sur toute personne essayant d’usurper vos adresses IP.
  • Protégez le routeur Internet du trafic extérieur et protégez tout ce qui se trouve entre le routeur et le pare-feu.

 4- QUE LES PARE-FEU SOIENT DES PARE-FEU

Au niveau du pare-feu, votre approche du filtrage devrait être plus fine.  Comme pour votre routeur frontalier, il est avant tout important de verrouiller l’accès au pare-feu lui-même.  Les utilisateurs non autorisés ne devraient pas avoir accès à cet appareil.

De plus, il existe deux principes de filtrage au niveau du pare-feu :

  • Refus par défaut. Un pare-feu est un dispositif de sécurité conçu pour protéger vos actifs.  Votre position par défaut lors de la configuration du pare-feu doit donc être de refuser le trafic.  Ne considérez pas le pare-feu comme le périphérique qui autorise tout le trafic, à l’exception des éléments que vous souhaitez bloquer.  Considérez plutôt votre pare-feu comme le périphérique qui bloque tout le trafic, à l’exception des éléments que vous choisissez d’autoriser.
  • Étiquetez tout. Avec le filtrage de pare-feu, il est important de supposer qu’un jour un nouvel administrateur de pare-feu devra comprendre ce que vous avez fait et pourquoi.  En ce qui concerne le filtrage du pare-feu, chaque nouvelle règle doit tenir compte du fait qu’un futur administrateur de pare-feu doit un jour lire ces règles et les comprendre.

Lorsque vous créez de nouvelles règles pour autoriser le trafic entrant, essayez d’être aussi précis que possible.  Par exemple, si vous savez qu’un serveur particulier nécessite un trafic entrant sur seulement trois ports TCP, ne créez pas de règle autorisant tous les TCP entrants vers ce serveur – créez une règle n’autorisant que les ports nécessaires.  Bien qu’il puisse être plus facile de rendre la règle moins spécifique « au cas où nous aurions besoin d’autoriser plus de ports plus tard », cela ouvre ce serveur à toutes sortes de trafic qu’il ne devrait pas recevoir, y compris le trafic malveillant conçu pour exploiter les vulnérabilités sur tous ces ports TCP que vous avez laissés ouverts.

Parfois, lorsqu’un nouveau serveur ou une nouvelle application est mis en ligne, autorisez tout pour l’instant et nous le verrouillerons lorsque nous saurons exactement ce que nous devons autoriser. Réfléchissez bien si vous souhaitez mettre un appareil sur votre réseau sans savoir exactement quels protocoles il est censé utiliser, puis autoriser le trafic sur n’importe quel protocole à l’atteindre.

Dans le même temps, bien que vous soyez aussi précis que possible avec votre ensemble de règles, il existe des meilleures pratiques que vous pouvez utiliser pour vous faciliter la tâche.  Si vous créez un groupe d’objets dans votre pare-feu pour inclure les adresses IP de tous les appareils du même type, avec les mêmes exigences de sécurité (par exemple, tous vos serveurs Web ou tous vos serveurs de messagerie), vous pouvez créer une règle unique autorisant tous les ports et protocoles spécifiques nécessaires à l’ensemble du groupe de serveurs à la fois.

De même, s’il existe un service particulier sur votre réseau dont vous avez besoin pour permettre à un ensemble connu d’adresses IP externes ou de réseaux d’accéder, vous pouvez créer un objet représentant toutes ces adresses et réseaux externes, puis créer une règle unique autorisant ces externes les appareils accèdent au service nécessaire.  Vous souvenez-vous de la règle permettant aux futurs administrateurs de pare-feu de comprendre ce que vous avez fait et pourquoi vous l’avez fait ?  Étiquetez cet objet de manière à bien comprendre ce que ces adresses représentent.  De plus, si vous pouvez ajouter des commentaires à vos règles, ajoutez un commentaire qui explique à quoi sert la règle et s’il existe une date d’expiration pour cette règle.

Enfin, il est important que l’administrateur du pare-feu effectue un audit régulier – à tout le moins annuel – des règles du pare-feu.  Idéalement, vous auriez la documentation et les demandes de changement de règle dans un seul fichier pour garantir un audit plus facile.  Les demandeurs de règles doivent être invités à vérifier que la règle qu’ils ont demandée est toujours requise et les règles inutiles doivent être supprimées.

Pour récapituler, en ce qui concerne le filtrage du pare-feu, il est important de

  • Assurez-vous que votre position par défaut est de refuser le trafic et non de l’autoriser.
  • Étiquetez tout aussi précisément que possible.
  • Mener des audits réguliers.

6- CONCLUSION ET RECOMMANDATION :

En adoptant une approche en couches du filtrage des frontières du réseau, vous pouvez bloquer le trafic le plus manifestement faux ou potentiellement dangereux sur votre routeur Internet, tout en permettant au pare-feu de faire ce pour quoi il est conçu, et d’inspecter et de bloquer les menaces restantes.

Avez-vous aimé ce tutoriel ? Alors n’hexite pas à aller sur le site ISOC pour plus de découverts sur la sécurisation de routage en cliquant sur le lien www.manrs.org.

Les normes mutuellement convenues pour la sécurité du routage (MANRS) est une initiative mondiale, soutenue par l’Internet Society, qui fournit des correctifs essentiels pour réduire les menaces de routage les plus courantes.

Pourquoi rejoindre MANRS ?

MANRS nécessite une collaboration entre les participants et une responsabilité partagée pour le système mondial de routage Internet.  Rejoindre MANRS, c’est rejoindre une communauté d’organisations soucieuses de la sécurité, déterminées à rendre l’infrastructure de routage mondiale plus robuste et plus sûre.

Veuillez envisager de mettre en œuvre les actions MANRS et de rejoindre la communauté MANRS.

Télécharger l’article

Réalisé par : Astan Souare Ingénieur en réseaux

Source : https://insights.sei.cmu.edu/sei_blog/2017/05/best-practices-for-network-border-protection.html

English
French English