réseau PME/domestiques et infections

Dans cette partie vous trouverez des papiers, articles sur l'informatique/sécurité.
Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 87648
Inscription : 10 sept. 2005 13:57
Contact :

réseau PME/domestiques et infections

Message par Malekal_morte » 27 sept. 2010 13:05

Une page concernant la sécurité des réseaux entreprises face aux malwares.
Cette page abordera donc le côté malware et non la sécurité en général (vaste domaine) comme les dangers relatifs aux vols de données, les hacks.
Enfin cette page est à destination des PME, Le but étant d'initier le lecteur aux dangers des malwares dans un réseau moyen d'entreprise et de vous faire comprendre le danger réel et la perte financière qui peut résulter d'une infection.

Les Dangers des malwares

Dans une entreprise, on peux séparer les dangers dû aux malwares en deux catégories :
  • Une première catégorie sont les malwares qui ne vont toucher qu'un poste comme :
    • Les stealers qui pourront voler des informations : compte utilisateur système, informations relatives à l'entreprise (fichiers de données etc).
    • Les SPAMBots qui peuvent occasionner des problèmes de fonctionnement du réseau (lenteur de la connexion internet et engorgement du réseau) et qui peuvent faire que l'entreprise soit blacklistée par les RBL. Eventuellement, une sommation du FAI de résoudre le souci sous peine de couper l'abonnement. Lire la page Spambot : identifier une machine qui spam sur un réseau/LAN
  • Les bots (Rbots/Sdbots) qui se propagent soit par des vulnérabilités à distances soit par et par disques amovibles. Le problème de ces infections est qu'elles peuvent avoir une propagation rapide qui vont par la suite rendre le réseau HS. Les bots effectuant des requêtes périodes sur le réseau afin d'infecter de nouvelles machines, ces derniers vont engorger le réseau. Plus de machines infectées = plus de requêtes et aussi plus de difficultés et de temps pour désinfecter le réseau. Ces derniers peuvent, au final, provoquer l'impossibilité de travailler.
Bien entendu un malware est comme un couteau suisse, si les Rbots/Sdbots qualifient une catégorie de malwares qui ont une propagation propre (type vers) ou un contrôle par le pirate spécifiques, ces derniers peuvent être à la fois de type stealer et spambots, ce qui vous comprendrez bien, n'arrange pas les choses.


Les vecteurs d'infection

Grosso modo, les mêmes que monsieur tout le monde chez lui :
  • Les médias amovibles
  • Le WEB : Les exploits sur site WEB / téléchargement direct, réseaux sociaux (s'ils ne sont pas bloqués)
  • Les vulnérabilités à distance
  • Les PE infector (téléchargé depuis le WEB, ramené de l'extérieur par netbook ou disques amovibles) - ex : Virut.
  • Autres vecteurs quand ils ne sont pas bloqués : les messageries instantanées etc.
Un PC infecté (et notamment les netbook) peuvent servir de porte d'entrée pour l'infection générale du réseau.

Zoom sur les Rbots/Sdbots

Comme évoqué plus haut, ces malwares se propagent par des vulnérabilités à distances et disques amovibles - ceci de manière automatique.

Il y a ensuite les vers qui se propagent avec ces vulnérabilités à distance, le plus connu étant Blaster/Sasser dans les années 2003/2004.
Par exemple Sasser exploitait les vulnérabilités MS04-011, MS04-012 et MS04-014.
Dernièrement on a beaucoup parlé de Conficker (aka Worm.Downadup) qui justement a touché beaucoup d'entreprise. Ce dernier exploite la vulnérabilité à distance MS08-067 et se propage aussi par disques amovibles.

Ces malwares peuvent donc infecter un réseau de deux manières différentes :

Un ordinateur portable infecté que l'on connecte au réseau ou l'utilisation d'un média amovibles sur un PC du réseau.
Image

Un serveur non à jour (contenant des vulnérabilités à distance) non sécurisé connecté à internet et au réseau qui "sert de porte d'entrée"
Image

Si dans le second cas, les chances sont moindres puisqu'en général, on fait attention à ce qui vient de l'extérieur vers l'intérieur (j'entends internet -> LAN), l'exemple plus flagrant étant le filtrage de mails. Les serveurs en questions sont sur des DMZ et mis à jour.
Le premier cas lui est souvent omis, ici le danger vient de l'intérieur du réseau via les utilisateurs. Il faut donc appliquer une stratégie stricte sur les netbook, les netbook où l'employé est administrateur et qui est utilisé chez lui (donc sur son réseau ou avec sa connexion), prêté à ses enfants sont sources d'infection.
Enfin dans le schéma, on peut remplacer le netbook par les médias amovibles, l'employé qui a utilisé une clef USB dans un autre lieu (chez son client, chez lui, dans un lieu public) qui peut potentiellement avoir infecté sa clef USB et qui ensuite l'utilise dans le réseau de l'entreprise peut ramener des malwares.

Ce qu'il ne faut pas faire...

Architecture du réseau

Il faut bien comprendre que plus on est laxiste, plus on a des chances de voir un PC ou son réseau infecté.
Voici le schéma classique d'un réseau d'une petite/moyenne PME :
Image

En somme, c'est exactement la structure d'un réseau domestique de monsieur tout le monde avec le LAN et le partage de connexion via un routeur/box grand public (puisqu'on souscrit souvent à un abonnement ADSL classique).
Quels sont les problèmes posés par cette structure ?
  • Aucune visibilité des trames envoyées et reçues entre le LAN et internet. Les routeurs/box grands publics n'offrent aucune possibilité de logs et surtout aucune possibilité pour voir et faire des recherches. Si un PC est infecté, on ne verra absolument rien sauf si l'antivirus en local sur le poste (s'il est tjrs actif) détecte quelque chose.
  • Aucune possibilité de mettre une politique de filtrage efficace entre le LAN et internet toujours dû à la limitation offerte par les box/routeurs.
Bref le problème des routeurs est qu'il est impossible de mettre en place une politique de filtrage et surtout que l'on a aucune visibilité pour prévenir d'une infection ou être efficace lorsque le réseau (ou un PC) est infecté.
Le cas le plus classique et la machine qui spam - ex sur le post suivant où la personne n'est pas capable d'identifier la machine qui spam dû au fait de la non visibilité des trames qui partent du LAN vers internet :
probleme-spam-qui-envoi-entre-000-mail- ... %20serveur

La solution la moins onéreuse consiste à intercaler le routeur/box par une machine GNU/Linux qui permet d'effectuer du filtrage et surtout qui a tous les outils adéquates pour suivre ce qui passe par elle.
Bien entendu, des boitiers plus ou moins équivalent existent mais cela peut avoir un coût non négligeable.

La mise en place d'un serveur proxy Squid est aussi très intéressant car ce dernier :
  • Log les connexions - ce qui peut permettre de déterminer si une machine est infectée alors que l'antivirus n'a émis aucune alerte. Dans le cas d'une infection, les logs peuvent permettre de retracer la source de l'infection si cette dernière est venue par le WEB. Bref cela permet un suivi des postes du LAN. Ce sont ces outils qui sont utilisés dans la page Spambot : identifier une machine qui spam sur un réseau/LAN afin de déterminer la machine qui SPAM dans un LAN.
  • Mise en place d'une politique de filtrage - on peux alors blacklister des sites WEB, des urls avec des mots spécifiques, interdire le téléchargement de binaires etc. Par exemple, la présence d'un serveur Squid peut permettre d'identifier les connexions WEB des malwares vers leurs C&C (Control Center) et les bloquer (voir la page suivante pour la notion de C&C : Botnet et PC Zombis). Voici un exemple de logs Squid d'une machine infectée - note je n'ai rien lancé, tout le trafic ici est généré par les malwares et rien n'apparaît à l'écran : https://www.malekal.com/fichiers/spyware ... lwares.txt
    On voit :
    • Les connexions au C&C (ce sont généralement des .php ou des urls avec des paramètres UID, version etc).
    • des connexions vers des sites pornographiques (encore une fois rien apparaît à l'écran, ici donc le malware est de trype Trojan.Clicker qui surf en fond
    • Beaucoup de connexions vers des urls en .ru
Avec une box GNU/Linux, si cela n'est pas pénalisant pour l'entreprise, on peux blacklister des réseaux entiers, par exemple les machines Chinoises, Russes ou Ukrainiennes qui sont sources de malwares.

Image

Par la suite, il est possible de mettre en place du monitoring de type cacti/rddtools (ou en old school mrtg) afin d'avoir une visibilité sur la bande passante réseau et de la connexion internet. Les pics d'utilisation pouvant être synonymes de malwares.

Enfin et bien entendu, l'idéal est la mise en place d'une DMZ et la séparation des serveurs de production avec le LAN.
Ceci ne sera pas évoqué ici, la documentation sur les DMZ sur la toile étant grandement disponible.

Politique de sécurité minimale

Le problème dans les petites et moyennes PME est l'absence de politique de sécurité souvent dû au fait que la gestion informatique est externalisée et qu'aucune personne n'est présente dans l'entreprise pour insuffler cette politique.
Très souvent, cela se traduit par des utilisateurs qui font ce qu'ils veulent - cela peut aller de l'utilisation de disques amovibles au droit administrateur du poste et l'installation (et donc le pourrissement) des PC.
Bien entendu tout cela augmente les chances d'infection au sein de l'entreprise.

Cette page passera outre les problèmes d'information aux utilisateurs (ne pas faire ceci, cela etc), la non mise en place de charte d'utilisation etc.

Du point sécurité et purement informatique, le minimum vital est :
  • Filtrage des connexions et contenus :
    • Filtrage des mails entrants (Antivirus et AnstiSpam) - Les mails étant connus pour leurs aptitudes à propager des malwares, le filtrage est souvent déjà mis en place.
    • Règles de routage du port 25 en sortant pour les machines du LAN, n'acceptez que les connexions vers le SMTP du fournisseur d'accès internet. Si une machine est compromise et souhaite spammer, les connexions vers les SMTP utilisés par le malware seront impossibles.
    • Bloquer les réseaux connus pour hoster des malwares (dans la mesure du possible) : IP Chinoises, Russes et Ukrainiennes. De même bloquer les domaines .cn .ru
    • Bloquer les connexions des messageries instantanées (serveurs) et les sites WEB - voir bloquer les webmail (Gmail, Yahoo! etc).
  • Pour les plus paranos : on peux bloquer les applets Flash et Javascript au niveau du proxy pour les sites WEB internet (et autoriser pour intranet).
  • Interdire l'installation et l'utilisation de programmes sensibles :
    • Faire tourner les utilisateurs avec des droits limités et surtout pas des droits administrateurs locaux surtout dans le cas des netbooks.
    • Bloquer les programmes de messageries instantanées (via des GPO par exemple)
    • Politique de sécurité au niveau des disques amovibles (blocage complet, blocage pour des groupes d'utilisateurs etc): http://www.laboratoire-microsoft.org/ar ... sta/0/#st1
  • Divers :
Bien entendu, il faut une présence régulière pour vérifier les logs de connexion, si les antivirus tournent bien sur les postes clients etc.

Conclusion

En espérant que cette page vous ait donné une vue d'ensemble des risques d'infection sur un réseau de PME.
Vous devez bien comprendre que l'absence d'une politique élémentaire de sécurité augmente les chances d'infection.
C'est souvent quand il est trop tard (réseau infecté) que l'on s'en aperçoit puisqu'avant tout va bien.... Un peu à l'image de l'existence ou non d'une politique de sauvegarde des données.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.


Répondre

Revenir vers « Papiers / Articles »

Qui est en ligne ?

Utilisateurs parcourant ce forum : Aucun utilisateur inscrit et 2 invités