Vous le savez, les cyberattaques font partie de notre quotidien de sysadmin et de dev.
Il n’y a qu’à voir les dernières actualités dans les journaux, elles deviennent de plus en plus violentes.
Aujourd’hui, nous allons nous intéresser à quelques bonnes pratiques pour prévenir et se protéger contre les attaques malveillantes
N’oubliez jamais que le risque zéro n’existe pas, et que l’on est jamais à l’abri d’une attaque.
Placer les services et serveurs derrière un pare-feu
Bien que les serveurs ont la possibilité d’avoir un pare-feu actif dessus, il est déconseillé de les mettre directement avec une IP public directement sur internet.
Les pare-feu intégrés sont souvent sommaires, ou demande beaucoup de configuration complexe qui peut devenir lourde à gérer au fil du temps.
Il est conseillé de mettre ces serveurs dans une subnet réseau DMZ, et rediriger les ports uniquement nécessaire pour l’utilisation du service
Dédier un subnet réseau DMZ
Par définition, une DMZ est une zone « Démilitarisée », cela signifie que ce subnet doit être isolé du reste du réseau.
Cela permet si un serveur est compromis, qu’il n’infecte pas le réseau complet, ou se limite uniquement aux machines dans ce réseau
Bien entendu, la ou les DMZ ne doivent pas pourvoir accéder à d’autres réseaux, mais peuvent être joignables par d’autres sous-réseau (par exemple pour la gestion, ou encore pour le monitoring des services).
Il peut être aussi intéressant de ne pas autoriser les serveurs dans les DMZ d’initier des connections avec des serveurs externes. Cela limite le risque d’extraction de données depuis le serveur.
N’autoriser que le trafique inter-VLAN nécessaire
Les VLAN servent à segmenter son réseau, mais est aussi utilise pour mettre en place des règles de filtrage.
En effet, imaginons qu’un segment contenant des serveurs web, il est conseillé de ne laisser passer que les ports 80 et 443 en direction de ce segment.
Ainsi, si une machine se fait véroler dans un autre segment, on limite les chances de propagation de l’infection dans ce VLAN.
Bien entendu, les ports sont à adapter suivant les services disponibles dans les VLAN en question.
Se protéger du brute force
Une des techniques pour rentrer dans un système est de tenter toutes les possibilités de login et mot de passe.
Il est très compliquer de détecter ce genre d’attaque parmi d’autres accès légitimes, et donc le seule moyen de bloquer ce genre d’attaque est de mettre en place un blocage d’adresses IP après plusieurs tentatives en échec.
Personnellement, je mets une durée d’expiration des blocages, sinon si des clients font faux plusieurs fois leur mot de passe, une action manuelle est nécessaire pour débloquer leur accès.
Mettre en place une restriction GeoIP
Si vos services et serveurs ne sont destinés qu’à un seul ou plusieurs pays, il est conseillé de bloquer l’accès à uniquement certaines IP qui sont liées aux pays souhaités.
De nombreux services en ligne répertories et fournissent des listes d’IP publiques rattachées aux différents pays.
De ce fait, il reste un risque que les informations fournies sont erronées (même si des contrôles sont effectués)
Garder ses systèmes à jour
Les serveurs et équipements réseaux doivent rester à jour pour combler les failles découvertes, et obtenir de nouvelles fonctionnalités.
Une routine doit être mise en place pour s’assurer que les systèmes sont toujours à jour.
Si cela n’est pas mis en place, il y a un risque que des mises à jour ne soient pas passées, car on se dit trop facilement « Je le ferai plus tard »
Mettre en place un bastion pour le management
Plutôt que de laisser tout le monde accéder à la gestion des serveurs, il est conseillé de mettre en place un serveur de management (ou bastion) hyper-protégé et surveillé.
L’idée est que uniquement les personnes s’occupant de la gestion de l’infrastructure aient accès, et qu’un login et mot de passe différent soit utilisé pour chaque personne.
Bien entendu, ce bastion devra être restauré en premier en cas de DRP pour pouvoir orchestrer le tout.
Donner uniquement les droits nécessaires
Ce point concerne surtout les serveurs de fichier ou cryptolocker peut rapidement faire des dégâts.
En effet, plus une machine a accès à des ressources réseaux à travers un utilisateur, plus elle fera de dégâts une fois infectée.
De plus, si un groupe d’utilisateur n’a besoin que de consulter un certains dossier, il n’est pas nécessaire de lui mettre des droits en écriture, mais uniquement en lecture.
Changer les login et mot de passe par défaut, et en mettre des forts
Ce n’est pas un secret, les attaquants tentent en premier lieu les logins et mots de passe par défaut sur les systèmes. C’est pourquoi il est important de changer le mot de passe, et le login par défaut si possible.
La bonne pratique veut que le compte admin par défaut soit désactivé, et qu’un autre compte soit créé avec les droits administrateurs (connu de très peu de personnes).
Les autres administrateurs et utilisateur utiliseront des logins nominatifs pour accéder aux différents services et systèmes.
Éviter plus que possible les comptes génériques, car il est plus compliqué de tracer les accès, et restreindre si besoin est.
De plus, si une personne quitte l’entreprise, il sera plus compliquer de changer le mot de passe et de le transmettre à tout le monde plutôt que de désactiver un compte.
Le mot de la fin… ou pas
Les points ci-dessous ne sont qu’une infime partie de ce qui est possible de faire pour sécuriser son infrastructure.
D’autres mesures sont envisageables, et font partie souvent du bon sens.
