Messagerie Antivirus.com
 
  Accueil > Sécurité > Exemple de stratégie de sécurité
 
 
    Accueil  
 
    Les virus  
 
    Messagerie Antivirus  
 
    Tout sur les antivirus  
 
    Sécurité  
 
>   La sécurité informatique
 
>   Les Firewalls
 
>   Les systèmes d'anti-intrusion
 
>   Bien choisir sa stratégie de sécurité
 
>   Exemple de stratégie de sécurité
 
    Glossaire  
 
    Liens  
 
 

Exemple de stratégie de sécurité

Exemple de sécurisation d'un serveur de mail

Dans cet exemple concret nous allons dans un premier temps identifier clairement quels sont les risques encourus par ce type de serveur, ensuite nous verrons quel dispositif technique mettre en place puis quels sont les mesures à prendre au niveau des moyens organisationnels .

Les menaces et les risques

Le spam

Ce serveur étant un serveur de messagerie, il est tout à fait enclin à recevoir ce type de « pourriel » (il aura toutefois été prévu pour fournir un service de filtrage de spam.).
Si aucune sécurisation n’était effectuée, le serveur, et plus particulièrement le service SMTP pourrait servir d’open-relay, c’est à dire que n’importe qui sur Internet pourrait l’utiliser pour envoyer des mails. Ce problème sera solutionner grâce à l’utilisation du SMTP authentifié (voir plus loin) .

L'interception d'information

Tout réseau risque, comme nous l’avons vu, d’être écouté si des dispositions proactives et réactives ne sont pas prises pour l’éviter. Le serveur est donc exposé à ce type d’attaque, nous verrons les moyens à mettre en place pour sa sécurisation.

Les DoS

Les attaques par déni de service peuvent malheureusement toucher un serveur Internet, il est même une proie de choix. S’il devient très chargé, il tend à répondre plus lentement aux requêtes. Dans notre cas, nous risquons d’avoir essentiellement des mails de spam sans adresses de retour, engorgeant donc la file d’attente de Qmail.

Les virus

Il était essentiel de prendre les précautions nécessaires pour protéger ce serveur de messagerie qui constituait un point de passage critique pouvant véhiculer facilement des virus. Outre des moyens techniques, il faudra également tenter d’éduquer tout utilisateur de ce serveur sur les risques des virus (clients et employés).

Le brute force

En ce qui concerne le bruteforce, le risque sur ce serveur est que l’attaquant risque par exemple d’essayer une technique de bruteforce afin de trouver le mot de passe d’un compte mail (POP). Il s’agira donc de prendre des mesures afin de pouvoir le détecter.

Les vulnérabilités de service

Si certains services possèdent des failles, il se pourrait qu’une personne les exploite pour tenter de nuire, ou de voler des informations.

Les pannes, incendies et vols

Le serveur peut être victime d’un incendie, ou un disque peut tomber en panne. Il se pourrait également, s’il n’était pas protégé physiquement, qu’une personne s’en empare. Nous verrons les procédures de sauvegarde, et de protection physique mis en place pour sa sécurisation

Le « social engineering »

La société fournit un service a ses clients. La société est donc appelée à manipuler des données importantes, des mots de passe et risque de se faire dérober des informations précieuses. Nous étudierons les moyens organisationnels à mettre en place afin d’éviter qu’une telle chose n’arrive.


Les moyens Techniques mis en oeuvre

Nous décrirons ici quels sont les dispositifs technique mis en oeuvre pour contrer les menaces citées plus haut.

Le choix du système .

En ce qui concerne le choix du système d'exploitation on pourrait conseiller un système Linux. Pourquoi ce choix ?
- Simplement déjà par soucis d’économie : les licences ‘Exchange’ de Microsoft étant très élevées, payables aux nombres de boites mails ;
-Pour la plus grande performance de linux, au niveau de la gestion des ressources.
- Le fait que Linux ne soit pas le terrain de prédilection des créateurs de virus qui sont en effet essentiellement développé pour Windows (voir le ver MS Blaster d’août 2003).
- Enfin pour la performance, la facilité de configuration et de gestion du système de messagerie Qmail.

Mise en place d'un filtre anti-spam.

Dans le cas du serveur de mail le spam représente une des menaces les plus réelle pour le serveur ,il est donc vital de mettre un dispositif anti-spam en place afin d'éviter au maximum toutes nuisance de cette nature.
Pour cela nous pouvons installer ce qu'on appelle des filtre anti-spam comme par exemple Spamassassin qui sont des logiciels capable de déterminer suivant les règles qui lui sont fixé si un mail est un spam ou non;

Spamassassin est un filtre très complet. Il utilise par défaut plus de 900 règles et propose tout un ensemble de fonctions anti-spam. En contrepartie, il n’est pas facile à paramétrer ou à administrer. Sa programmation en PERL lui confère une grande portabilité multi-plateforme (UNIX, Linux, Windows, Mac). Sa maturité est un autre de ses atouts.

Cet outil ne détruit pas les mails. Il se contente de faire subir à ceux-ci toute une série de tests et de règles. Chaque règle ajoute un nombre de points au score final. Il reste alors à l’administrateur de régler le taux qui définit la limite entre les mails qui sont du spam et ceux qui n’en sont pas.

Mise en place d'un anti-virus

La mise en place d'un anti-virus très performant et adapté au système Linux est indispensable lorsqu'on sait que la plupart des virus passe par la messagerie.On pourrait par exemple adopter l'Antiviral Toolkit Pro pour linux de Kaspersky.

Mise en place de filtres de sécurité supplémentaires sur le serveur SMTP

Qmail, le serveur SMTP utilisé sur le serveur de messagerie possède un outil complémentaire appelé QmailScanner. Cet outil se ‘greffe’ à Qmail et permet de lancer l’antivirus sur les mails entrant et sortant. En outre, il sert à effectuer des opérations de base permettant d’alléger la tâche de travail de l’antivirus ; en effet, il peut par exemple interdire tous les formats susceptibles d’être des virus comme les extensions VBS (VB script), les extensions EXE (exécutables Windows), etc.

Smtp authentifié

Le SMTP Authentifié est une extension du protocole SMTP (Simple Mail Transfer Protocol) permettant, grâce à une combinaison mot de passe / nom d´utilisateur d’autoriser uniquement une personne accréditée à envoyer des mails. Ce système permet premièrement d’éviter que ce serveur soit en open relay et secondement d’identifier une personne qui aurait abusé de ce service.

Firewall

Le firewall destiné à protéger les serveurs de messagerie est un firewall matériel.
Outre le fait de bloquer l’accès à certains services, ce firewall possède d’autres fonctions :

• Détection des scans de port : le firewall a la capacité de détecter qu’un scan de port est en cours et mettra automatiquement l’attaquant en liste noire
• Détection du spoofing (usurpation d’identité)
• protection contre de nombreuses attaques par DoS (exemple L’inondation SYN)
• Détections d’intrusions, etc.

Malgré la mise en place de cet outil performant, nous n’avons pas perdu de vue que certains services (En l’occurrence, POP et SMTP) restant ouverts demeuraient potentiellement vulnérables. Nous avons donc décidé de renforcer ce dispositif par une analyse quotidienne des journaux afin de détecter d’éventuelles agressions.

Analyse des journaux

Dans ce cas, l’analyse des journaux permettra de découvrir plusieurs choses. Nous chercherons à découvrir en priorité si des personnes ont essayé de casser les login/pass d’un compte POP par attaque de bruteforce par exemple.

La sécurité physique du serveur

Il est conseillé de stocker ce type de serveur dans des locaux spécialisé comme les datacenter. Grâce à ces fournisseurs, de nombreux points concernant la sécurité physique sont couverts à savoir la protection physique du serveur contre les tentatives d’intrusions physiques (accès par badge et pour les personnes authentifiées) et les incendies (chambres à aspiration d’air).

La gestion des sauvegardes et performances


Qu’est-ce qui doit être préservé ?
Que nous faudra-t-il par exemple en cas de panne ?

Cette machine étant un serveur de messagerie, tous les mails (ou presque, selon l’intervalle de temps) sont téléchargés directement sur le logiciel messagerie (comme Outlook, eudora, etc.). L’information ne manquerait donc pas. Quelle aurait d’ailleurs été l’utilité de garder des mails datés d’il y a une semaine ou plus ? Nous avons donc décidé de protéger uniquement les données concernant les configurations des boites mails, à savoir la configuration de Qmail, de l’anti-virus, de Qmailscanner et de l'anti-spam. Afin d’améliorer les performances, nous avons opté pour des disques en mode RAID 5, permettant ainsi d’accroître les vitesses de lecture et d’écriture.

Après avoir montré les différentes contre-mesures techniques adoptées, examinons maintenant les contre-mesures organisationnelles mises en place.

Les moyens organisationnels mis en œuvre


Outre les aspects techniques, le facteur humain est à prendre en compte par des moyens organisationnels à mettre en place. Ceci passera par de la sensibilisation, et par de la formation à certaines règles de sécurité à respecter.

l’information des utilisateurs



Conseils à fournir pour les virus

Malgré un antivirus extrêmement performant et le filtre de Qmailscanner, il est important de prévenir les utilisateurs quand aux dangers des virus et aux précautions à prendre en cas de réception de mail curieux, contenant une pièce jointe. La possibilité que ce genre de mail provienne de notre serveur est infime, mais certains utilisateurs possèdent d’autres boites aux lettres qui peuvent véhiculer des virus. Il est intéressant de les conseiller lors de l’envoi de leur mots de passe de connexion et d’envoyer régulièrement des conseils par mail.

Conseils à fournir pour les mots de passe

Ayant déjà décrit le caractère vital qui incombe aux mots de passe, il est impératif de prévenir l’utilisateur du risque que celui-ci encoure si son mot de passe de messagerie était dérobé. Ces conseils peuvent être une fois de plus joints aux mails. On pourrait par exemple expliquer, lors d’un scénario catastrophe qu’un de ses concurrents récupère ses mots de passe, par l’intermédiaire d’un employé mécontent, ou d’un ex-employé .

.

La formation et l’information des employés de la société



. Si la société est appelée à manipuler plus facilement que d’autres structures, des données sensibles comme des mots de passe client, ou à effectuer des opérations sur l’ordre de clients. Il est nécessaire de prendre grandement en considération la formation des employés et le facteur humain afin de garantir la sécurité de l’information.

Politique d’identification des clients

Lorsque ‘un client contacte la société , il est vital pour elle d’identifier ce client. Un numéro client ne devrait pas suffire, un pirate ou une personne mal intentionnée en général aura pu très facilement le découvrir. ‘Le fait de reconnaître une voix au téléphone est un des meilleurs moyens car très difficile à reproduire pour un manipulateur’ déclare Kevin Mitnick [L’art de la supercherie], mais ceci n’est pas toujours le cas, car on ne peut connaître tous les clients. Si possible il faut essayer d’analyser le numéro de téléphone de l’appelant et s’assurer qu’il s’agit du même que celui donné le jour de l’enregistrement du client. De nombreuses entreprises optent pour la solution ultime de priver le service technique de téléphone directement accessible de l’extérieur afin d’éviter tout problème, seul un mail ou un fax sont dans ce cas autorisé. ce vers quoi tendent beaucoup de société aujourd'hui.

Politique concernant les mots de passe

Une entreprise ne peut pas protéger les informations sensibles sans que ses employés se sentent impliqués. Les programmes de sensibilisation sont un bon moyen de fournir les informations nécessaires aux employés. La sensibilisation peut se faire au travers de sessions réduites, de publications ou d'affiches . Les programmes les plus efficaces emploient ces trois procédés afin d'éveiller constamment l'attention des employés à l'égard de la sécurité.

Politique d’envois des mots de passe

Les mots de passe, même s’ils ne constituent pas à eux seul toute la sécurité de l’information sont une donnée cruciale. La société ne doit en aucun cas les donner par téléphone. Lors de la création du compte client, il sera demandé à la personne enregistrée une adresse mail à utiliser dans TOUTES les communications futures, en plus d’un numéro de téléphone et de fax. Pour le cas d’envois de mots de passe, la personne devra être prévenue à l’avance afin qu’elle se prépare à la réception rendant l’interception de l’information impossible. On lui enverra alors par mail ou par fax.

Politique concernant la modification des données d’un client

Un client enregistré ne doit pas pouvoir faire réaliser une modification de ses données personnelles ou de mot de passe par téléphone, ni par mail. Ces informations sont trop importantes, elles risqueraient de mettre en péril la sécurité de l’information. De plus pour un manipulateur, il serait facile de se faire identifier comme étant le client en question par ces moyens de communication. Les demandes de modification d’informations aussi simples soient-elles devront se faire par courrier postal avec une preuve de l’identité du requérant (ex : photocopie de sa carte d’identité)

<     Glossaire >