| Réf : H5820 v1

Périmètre
Techniques de supervision de la sécurité des réseaux IP

Auteur(s) : Sarah NATAF,, Vincent BEL, Franck VEYSSET

Date de publication : 10 avr. 2004

Pour explorer cet article
Télécharger l'extrait gratuit

Vous êtes déjà abonné ?Connectez-vous !

Sommaire

Présentation

RÉSUMÉ

Un dispositif de sécurité n'est efficace que s'il est correctement administré et supervisé. Cet article présente la supervision de la sécurité des réseaux. Il commence par présenter les principaux protocoles et les aspects techniques de la supervision. La notion de périmètre  est ensuite expliquée car ce périmètre conditionne l'efficacité de la supervision.  Deux types de supervision sont distingués : la supervision en temps réel et la supervision en temps différé. Enfin une présentation de la politique de supervision et des réglementations existantes vient conclure cet article. 

Lire cet article issu d'une ressource documentaire complète, actualisée et validée par des comités scientifiques.

Lire l’article

Auteur(s)

INTRODUCTION

Les meilleurs dispositifs de sécurité ne peuvent pas protéger de façon optimale un réseau s’ils ne sont pas correctement supervisés. Ainsi, la sécurité d’un réseau repose d’une part sur l’architecture et son adéquation aux besoins des composants qui le constituent, mais aussi sur l’administration et la supervision, au jour le jour, de ces équipements.

Cet article a pour objectif d’aborder le domaine de la supervision de la sécurité des réseaux. À ce titre, sont présentés les aspects techniques de supervision, protocoles et outils les plus utilisés par les administrateurs réseau, cibles de supervision. Les aspects « politique de sécurité » liés à la supervision permettent de conclure.

Les protocoles et les formats de données SNMP ou Syslog sont utilisés dans les outils de supervision. COPS est un protocole récent visant à normaliser les échanges de flux de supervision.

Les aspects « périmètre de supervision », architecture, éléments à surveiller sont d’autant plus importants qu’ils conditionnent énormément l’efficacité d’un système de supervision, et sont difficilement modifiables a posteriori.

La supervision en temps réel et la supervision en temps différé sont généralement utilisées par des populations différentes au sein d’une entreprise (les exploitants étant plus intéressés par la supervision en temps réel pour la réactivité, les responsables par une supervision en temps différé pour une vision plus synthétique de la sécurité). Dans chaque cas, plusieurs outils couramment utilisés sont présentés, avec quelques exemples d’utilisation, ainsi qu’une analyse succincte de leurs résultats.

Les aspects politique de sécurité, norme ISO 17799, veille sécurité et plan de reprise sur incident, notamment les interactions avec la supervision de la sécurité, sont souvent négligés dans une politique de gestion de la sécurité, mais sont primordiaux pour une réactivité optimale en cas d’incident.

Un entretien avec Eric Wiatrowski, directeur adjoint à la sécurité de France Télécom Transpac, fournit quelques réponses concrètes aux problématiques d’externalisation de la supervision de la sécurité.

Cet article est réservé aux abonnés.
Il vous reste 94% à découvrir.

Pour explorer cet article
Téléchargez l'extrait gratuit

Vous êtes déjà abonné ?Connectez-vous !


L'expertise technique et scientifique de référence

La plus importante ressource documentaire technique et scientifique en langue française, avec + de 1 200 auteurs et 100 conseillers scientifiques.
+ de 10 000 articles et 1 000 fiches pratiques opérationnelles, + de 800 articles nouveaux ou mis à jours chaque année.
De la conception au prototypage, jusqu'à l'industrialisation, la référence pour sécuriser le développement de vos projets industriels.

DOI (Digital Object Identifier)

https://doi.org/10.51257/a-v1-h5820


Cet article fait partie de l’offre

Sécurité des systèmes d'information

(75 articles en ce moment)

Cette offre vous donne accès à :

Une base complète d’articles

Actualisée et enrichie d’articles validés par nos comités scientifiques

Des services

Un ensemble d'outils exclusifs en complément des ressources

Un Parcours Pratique

Opérationnel et didactique, pour garantir l'acquisition des compétences transverses

Doc & Quiz

Des articles interactifs avec des quiz, pour une lecture constructive

ABONNEZ-VOUS

Lecture en cours
Présentation

2. Périmètre

2.1 Quels sont les équipements concernés ?

Il est très important de définir soigneusement le périmètre des équipements à superviser. Il ne faut pas se limiter aux seuls firewalls ou plus généralement aux équipements d’accès au réseau. En effet, il est possible qu’un programme malicieux atteigne le réseau interne par un moyen autre, comme une disquette avec un virus par exemple. Il est aussi possible qu’un événement interne perturbe gravement les performances d’un réseau, comme un routeur de l’Intranet qui ne fonctionne plus correctement. Si les équipements concernés et les événements anormaux concernant ces équipements ne sont pas remontés, il peut alors être très difficile de déceler le problème et plus encore de remettre le réseau en place.

La définition du périmètre de sécurité doit donc couvrir l’ensemble des équipements névralgiques, serveurs comme équipements de routage. Ce périmètre est grandement dépendant du type de métier de l’entreprise. Un hébergeur va surveiller de très près la disponibilité de son réseau, le bon déroulement des sauvegardes des données hébergées, les ressources disponibles des machines, etc. Un opérateur de téléphonie mobile va pour sa part veiller à ce que les multiples cellules fonctionnent correctement, à la couverture de son réseau (redondance correcte), etc.

Il faut donc déterminer les zones importantes à superviser relativement à son métier, que l’on surveillera en priorité. Il est généralement conseillé de n’avoir que quelques serveurs rassemblant les informations de supervision de manière à synthétiser aisément toutes les informations importantes. S’il y a plusieurs zones à surveiller, il faut alors avoir quelques serveurs par zone pour surveiller plus efficacement les équipements suivis. En effet, les personnes qui s’occupent de la supervision sont le plus souvent peu nombreuses, et pour éviter de se déplacer d’un poste de supervision à un autre, la centralisation permet d’avoir sur quelques postes une visibilité de l’ensemble du réseau (figure 3). Il existe une solution intermédiaire qui peut être intéressante. Le principe est de mettre des serveurs de monitoring sur chacun des sites à superviser, et un autre serveur (ou plusieurs autres si besoin),...

Cet article est réservé aux abonnés.
Il vous reste 94% à découvrir.

Pour explorer cet article
Téléchargez l'extrait gratuit

Vous êtes déjà abonné ?Connectez-vous !


L'expertise technique et scientifique de référence

La plus importante ressource documentaire technique et scientifique en langue française, avec + de 1 200 auteurs et 100 conseillers scientifiques.
+ de 10 000 articles et 1 000 fiches pratiques opérationnelles, + de 800 articles nouveaux ou mis à jours chaque année.
De la conception au prototypage, jusqu'à l'industrialisation, la référence pour sécuriser le développement de vos projets industriels.

Cet article fait partie de l’offre

Sécurité des systèmes d'information

(75 articles en ce moment)

Cette offre vous donne accès à :

Une base complète d’articles

Actualisée et enrichie d’articles validés par nos comités scientifiques

Des services

Un ensemble d'outils exclusifs en complément des ressources

Un Parcours Pratique

Opérationnel et didactique, pour garantir l'acquisition des compétences transverses

Doc & Quiz

Des articles interactifs avec des quiz, pour une lecture constructive

ABONNEZ-VOUS

Lecture en cours
Périmètre
Sommaire
Sommaire

BIBLIOGRAPHIE

  • (1) - DURHAM (D.), BOYLE (J.), COHEN (R.), HERZOG (S.), RAJAN (R.), SASTRY (A.) -   The COPS (Common Open Policy Service) Protocol  -  , Janvier 2000 RFC 2748.

  • (2) - LONVICK (C.) -   The BSD syslog Protocol  -  . Août 2001 RFC 3164.

  • (3) - PUJOLLE (G.) -   Les Réseaux  -  . 3e édition, Eyrolles, 2000, ISBN : 2-212-09119-2.

  • (4) -   Information technology – Code of practice for information security management  -  . ISO/IEC 17799:2000.

  • (5) -   Une présentation générale – Dossier Technique du Clusif  -  . Avril 2003 http://www.clusif.asso.fr/ ISO 17799:2000.

  • (6) -   *  -  CERT-IST, http://www.cert-ist.com/

  • ...

Cet article est réservé aux abonnés.
Il vous reste 92% à découvrir.

Pour explorer cet article
Téléchargez l'extrait gratuit

Vous êtes déjà abonné ?Connectez-vous !


L'expertise technique et scientifique de référence

La plus importante ressource documentaire technique et scientifique en langue française, avec + de 1 200 auteurs et 100 conseillers scientifiques.
+ de 10 000 articles et 1 000 fiches pratiques opérationnelles, + de 800 articles nouveaux ou mis à jours chaque année.
De la conception au prototypage, jusqu'à l'industrialisation, la référence pour sécuriser le développement de vos projets industriels.

Cet article fait partie de l’offre

Sécurité des systèmes d'information

(75 articles en ce moment)

Cette offre vous donne accès à :

Une base complète d’articles

Actualisée et enrichie d’articles validés par nos comités scientifiques

Des services

Un ensemble d'outils exclusifs en complément des ressources

Un Parcours Pratique

Opérationnel et didactique, pour garantir l'acquisition des compétences transverses

Doc & Quiz

Des articles interactifs avec des quiz, pour une lecture constructive

ABONNEZ-VOUS