<img height="1" width="1" style="display:none" src="https://www.facebook.com/tr?id=1678611822423757&amp;ev=PageView&amp;noscript=1">
Defrag This

| Read. Reflect. Reboot.

Pourquoi la surveillance des ports réseau joue un rôle important dans la sécurité

Michael O'Dwyer| January 28 2020

| monitoring

Les professionnels de l'informatique savent déjà que, quand on parle de ports, on désigne les ports virtuels à 16 bits utilisés pour l'interconnexion des systèmes, dans le cadre de la communication via des protocoles tels que TCP ou UDP et non pas via les connexions physiques de type USB, HDMI, etc. sur le système. Voir le modèle OSI et la liste des numéros de port et les fonctions affectées pour les non-informaticiens. Le port 80 est couramment utilisé pour l'activité HTTP, par exemple, et de nombreuses applications communiquent via les ports affectés par défaut.

Avec plus de 65 000 ports disponibles (65 336 en fait, y compris le 0), il est essentiel de les surveiller. La raison ? Comme toujours, pour prévenir les attaques malveillantes ou les attaques de collecte de données d'acteurs étatiques, de pirates cherchant à obtenir un accès pour la validation de leurs pairs et, bien sûr, de cybercriminels recherchant des gains financiers.

Compte tenu du nombre de ports possible, comment les administrateurs réseau peuvent-ils gérer un processus de surveillance ou même détecter une intrusion ? Comment savons-nous que d'autres personnes peuvent tester les vulnérabilités de nos réseaux ? Comment faire pour garantir une sécurité maximale sans affecter la productivité des utilisateurs ?

Dans un article précédent, Greg Mooney a défini les scanners de port et démontré comment le balayage de ports sur votre réseau vous permet de voir ce que les potentiels pirates voient lorsqu'ils analysent ce dernier. Logiquement, les avantages considérables pour la sécurité qu'induisent la surveillance des attaques par ligne de commande et la connaissance des méthodes d'attaque utilisées ne font que faciliter la protection du réseau. Étudions certains des outils standard que les testeurs de pénétration (et les pirates) utilisent pour vérifier la sécurité.

Kali est davantage qu'une déesse hindoue

Kali Linux, peut-être la distribution la plus connue destinée aux tests de pénétration, propose un tas d'outils de piratage open source. Elle n'est sans doute pas la seule, mais elle va servir à illustrer l'approche logique utilisée pour pénétrer un réseau. Intéressez-vous au nombre d'outils de piratage disponibles dans Kali Linux par défaut (d'autres peuvent être ajoutés). Dans le cadre d'une répartition en catégories pratiques de types Collecte d'informations, Analyse des vulnérabilités, Outils d'exploitation, Tests de tension et Attaques sans fil, il est possible pour les pirates de tous types (y compris les cybercriminels et les testeurs de pénétration légitimes) de recueillir des informations pertinentes, d'identifier les vulnérabilités et de les exploiter, le tout depuis le même référentiel d'outils. Un lien direct vers la base de données d'exploitation assure au pirate qu'il a accès aux dernières vulnérabilités applicatives vérifiées. Une évaluation datant de la semaine dernière indique clairement à quel point cette ressource est détaillée… Il est logique de lancer des attaques en fonction des dernières vulnérabilités identifiées et vérifiées dans un contexte où de nombreux administrateurs n'installent pas les correctifs rapidement, même si une vulnérabilité donnée fait l'objet d'une alerte de sécurité.

Certes, de nombreux outils utilisent une approche par ligne de commande, mais les utilisateurs novices peuvent obtenir facilement les commandes nécessaires via des études ou forums en ligne. Dans tous les cas, la plupart sont dotés de didacticiels. Les pirates dont les attaques d’ingénierie sociale échouent disposent de nombreuses options dans le cadre de l'analyse des ports. Qu'il s'agisse d'un balayage de ports Nmap, Unicornscan (si un balayage standard est impossible) ou Wireshark (analyse du trafic réseau et des paquets), les informations détectées sont susceptibles d'être utilisées ultérieurement pour lancer une attaque. Examinez les 20 meilleurs outils de piratage et de pénétration pour Kali Linux, tels qu'évalués par FOSSMint, pour bénéficier d'un aperçu sur les exploits facilement réalisables par même les pirates les moins expérimentés. Pensez-vous que la surveillance des ports est une activité inutile à ce stade ?

 

Tout port est menacé

Sachant que la collecte d'informations est la première étape pour tout pirate, et que le balayage de ports et des techniques similaires permettent d'obtenir des détails pertinents, il est généralement considéré comme insensé d'ignorer la surveillance de réseau, du trafic et des ports. Bien sûr, si les modalités sont incorrectes, elle peut prendre une grande partie de la journée de travail… Ce n'est donc pas la meilleure solution. Malheureusement, dans certains cas, en raison d'un manque d'investissement, les professionnels de l'informatique en sont réduits à rechercher des modèles dans les fichiers journaux, ce qui n'est qu'une approche réactive de la recherche des défaillances. Une approche proactive en temps réel de la surveillance ne garantit-elle pas une utilisation optimale et plus productive du temps et des ressources informatiques ? Certains essaient de développer leur propre application, mais les coûts sont plus élevés qu'avec un outil commercial et/ou elle offre moins de fonctionnalités que le produit commercial équivalent. En tant que mordu de technologie, si vous devez convaincre la direction de la viabilité d'un bon outil de surveillance réseau, consultez cet article de John McArdle.

Même si la surveillance des ports ouverts est sans doute une fonction de sécurité majeure, elle est loin d'être simple du fait que les ports s'ouvrent et se ferment selon le service utilisé ou l'action du pare-feu. Certains protocoles et applications utilisent des ports aléatoires pour la communication…

Avec une solution efficace de surveillance des ports/du réseau efficace, les administrateurs peuvent définir une ligne de référence pour l'activité sur les ports et configurer des alertes automatisées en cas d'activité suspecte. Au fil du temps, la surveillance devient presque entièrement automatisée, ce qui permet d'identifier l'ensemble des processus et services nouveaux, et donc suspects, et permet ainsi à votre équipe informatique de se consacrer à d'autres projets commerciaux.

Bien sûr, les professionnels de la sécurité utilisent d'autres techniques pour confondre ou au moins ralentir les pirates. Évitez d'utiliser des valeurs par défaut, qu'il s'agisse d'une plage d'adresses IP internes ou de numéros de port. Si le port 80 n'est pas utilisé pour HTTP, par exemple, une attaque du port 80 via HTTP est inefficace.

En conclusion, la surveillance des ports est un élément vital de la sécurité du réseau. Le mode d'implémentation dépendra du budget, des compétences techniques et, bien sûr, des ressources en personnel disponibles. Les vulnérabilités de réseau méritent assurément d'être étudiées à l'aide de certains des outils mentionnés précédemment ou par l'intermédiaire d'un pirate aux valeurs éthiques garanties, afin de vérifier votre niveau de sécurité, en gardant à l'esprit que d'autres techniques telles que le « port knocking » peuvent utiliser les règles de pare-feu contre vous. Aucune entreprise n'est trop petite pour être piratée… La question est donc : Quel est le niveau de protection de votre réseau, dans la mesure où n'importe qui peut recourir à des outils de piratage gratuit pour mettre en danger le réseau et les données qu'il héberge ? Quelles techniques utilisez-vous pour empêcher le balayage de ports externe ?

 

 

Topics: monitoring

Leave a Reply

Your email address will not be published. Required fields are marked *

THIS POST WAS WRITTEN BY Michael O'Dwyer

An Irishman based in Hong Kong, Michael O’Dwyer is a business & technology journalist, independent consultant and writer who specializes in writing for enterprise, small business and IT audiences. With 20+ years of experience in everything from IT and electronic component-level failure analysis to process improvement and supply chains (and an in-depth knowledge of Klingon,) Michael is a sought-after writer whose quality sources, deep research and quirky sense of humor ensures he’s welcome in high-profile publications such as The Street and Fortune 100 IT portals.

Free Trials

Getting started has never been easier. Download a trial today.

Download Free Trials

Contact Us

Let us know how we can help you. Focus on what matters. 

Send us a note

Subscribe to our Blog

Let’s stay in touch! Register to receive our blog updates.