CASES.LU

Glossary

  1. ▹ Antivirus
  2. ▹ Actifs
  3. ▹ Authentification
  4. ▹ Disponibilité
  5. ▹ Critères de base pour l'analyse des risques
  6. ▹ Attaque informatique
  7. ▹ Confidentialité
  8. ▹ Control
  9. ▹ Cryptographie
  10. ▹ Cybercriminalité
  11. ▹ Cybercriminel
  12. ▹ DRP – Disaster Recovery Plan
  13. ▹ Sauvegarde de données
  14. ▹ Perte de données
  15. ▹ Défiguration
  16. ▹ Désinfectez la machine avec un live CD
  17. ▹ Mise au rebut
  18. ▹ Email
  19. ▹ Firewall
  20. ▹ Erreurs humaines
  21. ▹ IDS/IPS
  22. ▹ Droit à l'image
  23. ▹ Impact
  24. ▹ Intégrité
  25. ▹ Internet et droits d'auteurs
  26. ▹ Aspects légaux
  27. ▹ LuxTrust
  28. ▹ Logiciels malveillants
  29. ▹ Sites Web malicieux
  30. ▹ Segmentation réseau
  31. ▹ Password
  32. ▹ Correctifs - patch
  33. ▹ Phishing
  34. ▹ Pannes physiques
  35. ▹ Sécurité physique
  36. ▹ Vol Physique
  37. ▹ Recommandations pour sécuriser un serveur de fichiers
  38. ▹ Recommandations pour sécuriser un serveur connecté à Internet
  39. ▹ Recommandations pour sécuriser un serveur Web
  40. ▹ Supports amovibles
  41. ▹ Gestion des risques
  42. ▹ Spam - les courriers indésirables
  43. ▹ SSL/TLS - les technologies de chiffrement sur la toile
  44. ▹ Mettre à jour les logiciels sur son ordinateur à l'aide de Secunia PISA
  45. ▹ Charte de sécurité
  46. ▹ Ingénierie sociale
  47. ▹ Menaces
  48. ▹ VPN : Les réseaux privés virtuels
  49. ▹ Vulnérabilités
  50. ▹ Web of Trust - WOT
  51. ▹ Filtre web - Proxy
  52. ▹ Pourquoi est-il important de protéger son ordinateur?

Segmentation réseau

En quelques mots

Segmenter son réseau est un exercice utile, qui permet non seulement d’améliorer sensiblement la sécurité de votre infrastructure mais oblige surtout à effectuer un inventaire bien utile et une classification de son parc informatique. La segmentation consiste à séparer les groupes d’ordinateurs en sous-ensembles séparés les uns des autres par des règles bien définies.

Une segmentation bien réalisée permet non seulement de contenir les menaces éventuelles dans des zones bien définies mais surtout de mettre en place des outils de sécurité supplémentaires.

Zone rouge - Internet

De nos jours, il est impensable d’imaginer dans une entreprise un système informatique complètement isolé d’Internet. La zone rouge correspond à la zone sur laquelle on n’a pas de maîtrise; c’est de là que vient une grande partie des menaces. Cette zone est à séparer du réseau interne par un firewall ou au moins par un routeur NAT (ce qui est le cas dans la plupart des ménages au Luxembourg). Un firewall étant un ordinateur servant à filtrer les communications entre zones, les règles de filtrage doivent être définies par l’opérateur du firewall mais, en général, il y aura au moins un blocage des connexions initiées sur Internet.

Les seuls services exposés directement à Internet doivent être identifiés et isolés dans la zone dite orange.

Zone orange - Les services exposés à l’Internet

La zone orange est la zone dans laquelle se trouvent les serveurs de l’entreprise connectés directement à Internet. L’accès à cette zone doit soigneusement être filtré (à l’aide d’un firewall) pour s’assurer que seuls les services destinés au monde extérieur sont accessibles ; les services de maintenance sont à protéger d’un accès direct depuis la zone rouge. Aucune communication initiée dans cette zone ne doit pouvoir entrer dans une autre zone du réseau interne.

La sécurité peut être améliorée à l’aide de commutateurs permettant l’isolation des ports ; ainsi tous les serveurs se retrouvent isolés entre eux, ce qui permet de contenir les attaques en cas de compromission de serveur.

Zone verte - Les ordinateurs du personnel

La zone verte constitue le noyau du réseau interne. C’est cette zone qui a le plus d’accès, principalement vers Internet, mais aussi de manière restreinte vers la zone orange, pour des raisons de maintenance des serveurs. En zone verte, le fait que les machines puissent parler entre elles peut se révéler utile, une isolation des stations n’est donc pas toujours souhaitable.

Souvent, des proxys web de filtrage de pages et détection de virus seront avantageusement installés pour amoindrir les dangers issus de l’Internet.

La zone verte peut elle-même encore être séparée en sous-sections. Les membres de l’équipe informatique par exemple sont les seuls habilités à effectuer la maintenance des serveurs en zone orange. Il est donc évident qu’ils devraient être les seuls à avoir accès aux services de maintenance de ces serveurs.

Attention ! Ne vous laissez pas tromper par la couleur, beaucoup d’attaques peuvent provenir de la zone verte (employés insatisfaits, menaces externes qui se seraient infiltrées dans l’entreprise, ordinateurs infectés pour ne citer que quelques exemples)  ; de ce fait, les ordinateurs de cette zone ne devraient pas avoir tous les droits.

Zone jaune - Les services internes

Serveurs de fichiers, serveur intranet ou autres services destinés aux utilisateurs en zone verte nécessitent une attention particulière. Le but est de les protéger des menaces de la zone verte tout en donnant les accès nécessaires qui rendent ces services utiles. L’étude doit ici être effectuée au cas par cas, néanmoins, cette zone peut être assimilée à une zone orange offrant ses services à la zone verte au lieu de la zone rouge.

L’installation de serveurs directement en zone verte, bien que confortable, est à éviter en raison des dangers possibles qui en sont issus.

Zone bleue - Les nomades et visiteurs

La zone bleue permet de donner des accès restreints (souvent uniquement à Internet) à des visiteurs ou aux appareils privés du personnel (iPads ou téléphones). C’est typiquement la zone du wifi. Les services internes ne doivent être accessibles de cette zone qu’en observant certaines précautions.

Pratique

Une bonne segmentation de réseau ne peut se faire qu’avec les outils adéquats. Firewalls, commutateurs et, le cas échéant, antennes wifi constituent le cœur d’un réseau segmenté avec lesquels il est possible d’obtenir de bons résultats même à moindre prix en utilisant des produits libres. La segmentation de réseau est à la portée de tous et déjà très utile pour toute petite entreprise.

Remarques

Comme évoqué ci-dessus, il est important de ne pas considérer la zone verte comme une zone sûre puisque c’est d’elle que viendra une grande partie des attaques. L’équilibre entre services à mettre à disposition et sécurité peut être difficile à gérer, de fait, celui-ci ne peut pas être évalué sans analyse de risques préalable.

Une bonne segmentation du réseau ne constitue pas une protection absolue et ne devrait pas être considérée comme telle, mais plutôt comme outil nécessaire à la mise en place d’autres mesures de sécurité comme des systèmes de détection d’intrusion, filtrages, antivirus, etc.

Exemples

Petit réseau

Cas d’une très petite entreprise. La segmentation se résume à l’utilisation d’un routeur NAT pour séparer le réseau interne d’Internet.

Réseau petit

Réseau de taille moyenne

Cas d’une entreprise moyenne avec un serveur de fichiers  et de mails. Un seul firewall s’occupe de la segmentation du réseau.

Réseau moyen

Réseau de grande taille

Cas d’une grande entreprise avec réseau pour externes et un sous réseau isolé en DMZ (zone orange dans laquelle les serveurs ne peuvent pas communiquer entre eux).

Réseau grand