Vue d’ensembleChaque couche réseau est indépendante selon les principes définis par l’ISO, ce qui a pour conséquence directe que chaque couche réseau est sensible.......
à certaines attaques. Aussi, à chaque couche réseau correspond un ensemble de mécanismes de sécurité.De part leur nature et la fonction qu’ils occupent au sein du réseau, les éléments actifs proposentdes solutions pour sécuriser une ou plusieurs couches réseau.
Les châssis:
Les châssis sont souvent considérés, à tort, comme des équipements totalement passifs dont l’utilité principale réside dans un système d’hébergement physique d’autres éléments de réseaux plus intelligents. On ignore alors souvent que ces matériels peuvent supporter certaines fonctions de sécurité. Dans les faits, les mécanismes de sécurité mis en oeuvre dans les châssis ont surtout pour but de contrer des menaces de type « déni de service » accidentelles (panne d’un élément, température hors norme, coupure électrique…), mais on y trouve également des fonctions d’administration distantes participant à la sécurité d’ensemble:
· Ventilation et alimentations doublées,
· Alimentations de secours,
· Agent d’administration SNMP ou autre (serveur HTTP par exemple),
· Sonde RMON pour le debugging à distance,
· Mécanismes de remplacement à chaud (hot swapping),
· Détection de pannes et bascule automatique d’un module sur un autre…
Les ponts
Un pont est un équipement réseau de bas niveau (Ethernet par exemple), permettant de séparer un segment en deux. A l’origine, cette volonté de séparation avait un double objectif :
· Assurer une meilleure répartition du trafic (pontage contre saturation) par un cloisonnement des flux sur chaque segment,
· Permettre d’allonger la longueur physique d’un segment, le pont étant alors utilisé comme un simple répéteur / amplificateur de signal.
Ce cloisonnement fonctionne de manière dynamique, par auto-apprentissage de la topologie du réseau :
Le pont écoute les deux segments en permanence afin de déterminer, de part et d’autre, quelles sont les machines présentes sur chaque segment ; quand une machine d’un segment émet une trame à une machine du même segment, le pont ne retransmettra pas cette trame sur le second segment dont il a la charge.
Ce mécanisme limite alors les possibilités d’écoute, d’usurpation d’adresse Ethernet mais, surtout limite le trafic entre les deux segments.
Exemple de pontage pour limiter la saturation d’un segment :
Cet inconvénient peut être contourné par l’application d’un algorithme dit de « spanning tree », permettant d’éviter un tel phénomène. L’inconvénient se transforme alors en avantage dans la mesure où, en cas de défaillance de l’un des ponts, on peut basculer le « routage » sur l’un des ponts restants (routage de secours).
Les concentrateurs
Un concentrateur, ou « Hub » en anglais, est un équipement de réseau « couche basse » permettant la mise en place d’un segment Ethernet partagé par plusieurs machines. Il se compose généralement d’un boîtier disposant de ports d’entrée/sortie sur lesquels on connecte les équipements terminaux. Il est également possible de cascader plusieurs concentrateurs entre eux afin de disposer d’un nombre de ports physiques plus important pour un même segment.
Du fait de sa passivité, un concentrateur n’assure donc pas de mécanisme de sécurité en tant que tel, mais de nombreuses évolutions ont offert la possibilité d’assumer de telles fonctions, même si elles demeurent de niveau élémentaire.
Brouillage de trame
Le principe du brouillage de trame consiste à ne diffuser les trames reçues qu’aux seuls ports destinataires, un peu comme le ferait un commutateur. Cependant, s’agissant d’un système à diffusion, les autres ports reçoivent tout de même une information, afin de pouvoir traiter les problèmes de collision, à savoir une trame Ethernet de même taille que celle d’origine mais dont le contenu est inintelligible ; seul le port destinataire reçoit alors effectivement la trame complète. Ce mécanisme impose que le concentrateur soit alors capable de reconnaître les adresses Ethernet des machines qui lui sont connectées. Cette contrainte est assurée par la mise à jour d’une table de correspondance interne au concentrateur entre ports physiques et adresses Ethernet, mais cette table
est généralement mise à jour de façon dynamique par une fonction d’auto-apprentissage ; lorsqu’une trame est émise par un équipement terminal, le concentrateur la reçoit sur un de ses ports et met alors à jour la table en conséquence et de façon automatique. Le mécanisme ne permet donc pas de se protéger efficacement contre une falsification des adresses
Ethernet.
Contrôle d’adresse
Le contrôle d’adresse consiste à figer l’adresse Ethernet d’une station sur un port particulier, et ce afin d’empêcher qu’un attaquant remplace une machine connectée par la sienne. Si l’adresse Ethernet de la machine ne correspond pas à celle prévue pour ce port, les communications sont alors interrompues sur ce port. Le mécanisme offre toutefois une sécurité de faible niveau puisqu’il est toujours possible à un
attaquant de falsifier son adresse Ethernet.
Contrôle de déconnexion
Certains concentrateurs offrent la possibilité d’inactiver un port en cas de détection d’une déconnexion. Cette fonctionnalité peut cependant être contraignante dans la mesure où le matériel ne sait pas toujours faire la différence entre un débranchement physique de la prise réseau et une extinction de la machine.
Inactivation programmable
Afin d’éviter une connexion pirate sur un port libre du concentrateur, les administrateurs réseau débrassent physiquement les prises inutilisées. Cette opération demeure contraignante car elle nécessite une opération dans les locaux techniques contenant les baies de brassage. Certains concentrateurs, gérables à distance, offrent la possibilité d’inactiver un port par une commande spécifique, simplifiant alors la procédure.
