Comment gérer l’administration hors bande de son infrastructure
L’administration hors bande peut être utilisée pour gérer son infrastructure réseau. L’experte Judith Myerson en explique les avantages et la mise en œuvre.
Le Cert-US a émis, en septembre, six recommandations sur la manière de faire face aux menaces de plus en plus nombreuses visant les équipements d’infrastructure réseau. Et cela commence par la ségrégation des réseaux et des fonctions. La segmentation des réseaux permet, le cas échéant, de déconnecter des segments de réseau sans interrompre l’ensemble de l’activité en cas d’intrusion.
Le Cert-Us recommande ensuite de limiter les communications latérales au strict minimum et de contrôler au maximum les échanges suivant des règles de pare-feu et de contrôle d’accès strictes. Il suggère également de durcir autant que possible les équipements réseaux en chiffrant les protocoles d’administration à distance, en appliquant les plus récents correctifs, ou encore en désactivant les services inutiles.
La liste du Cert-US fait également état de la sécurisation des accès aux équipements d’infrastructure, en bloquant les connexions non autorisées. Et de suggérer leur administration hors bande, non seulement pour sécuriser la gestion de ces équipements, mais également pour disposer d’un canal secondaire autorisant une réaction rapide en cas d’incident. Enfin, le Cert-US conseille de valider l’intégrité des matériels et de leurs logiciels, de manière régulière.
L’importance du rôle des contrôleurs SDN (ou réseau à définition logicielle) dans l’administration hors bande des flux réseau a été négligée. Ces contrôleurs aident les administrateurs réseau à passer moins de temps à localiser et corriger des vulnérabilités réseau. De telles contre-mesures devraient figurer dans le plan de gestion des risques hors bande.
Les équipements réseau critiques, par exemple, doivent être configurés correctement pour rendre plus difficile à un attaquant l’observation des changements effectués par un administrateur dans les logiciels embarqués, les configurations des équipements ou les mises à niveau des connexions.
OpenFlow
Derrière le cerveau du contrôleur SDN se cache OpenFlow, un standard qui permet au contrôleur de séparer le plan d’administrateur du plan de données dans les équipements réseau. Le contrôleur indique aux équipements quoi faire pour assurer le transit des flux réseau – c’est le plan de contrôle – mais n’assure pas ce transit – c’est le plan de données. Par exemple, si un équipement réseau souffre de saturation, le contrôleur peut indiquer à un équipement sain de prendre en charge le trafic.
OpenFlow a été utilisé pour copier en miroir le trafic réseau afin d’assurer l’administration hors bande des flux. Cela permet à l’administrateur de superviser les équipements qu’ils soient actifs ou non, ou bien accessibles ou non sur le réseau principal. Et si un segment réseau s’avère défaillant, les services d’administration hors bande peuvent permettre de le redémarrer.
Mise en œuvre de l’administration hors bande
L’administration hors bande peut être implémentée de manière physique ou virtuelle, voire de manière hybride en impliquant le réseau principal. Lors des contrôleurs multiples sont utilisés, le protocole BGP (Border Gateway Protocol) peut servir de support à l’administration hors bande.
La technique de fédération permet à des contrôleurs multiples (caractéristiques d’un vaste réseau couvrant plusieurs points géographiques) d’échanger des informations entre eux. Si un contrôleur, par exemple, ne fonctionne pas correcteur, les autres contrôleurs du même environnement SDN vont automatiquement récupérer les paquets de données via les routeurs indiqués. Il est recommandé d’utiliser au moins BGP pour supporter l’administration hors bande.
Les organisations qui ne souhaitent pas de logiciel d’administration en local peuvent se tourner vers des services d’administration en mode Cloud, à l’abonnement. Cradlepoint, par exemple, propose ce service dans le cadre d’une offre Cloud.
L’administration hors bande vue par l’équipementier
Certains équipementiers SDN requièrent de leurs clients qu’ils disposent d’un réseau d’administration hors bande qui offre une bonne latence notamment lorsqu’un segment du réseau de production est tombé. Et l’on trouve notamment parmi ceux-ci des spécialistes de la supervision réseau tels qu’Ixia et Gigamon, mais également des équipementiers tels que Cisco, Brocade et HPE.
L’Interface IPMI est la plus courante pour l’administration hors bande des systèmes et des appliances déployées en local. IPMI utilise un contrôleur dédié, le Baseboard Management Controler, qui dispose de sa propre alimentation, d’un port de communication et d’un système d’exploitation dédiés. Dell, IBM et HPE proposent des services d’administration basés sur IPMI.
Mais s’ils ne sont pas correctement configurés, les équipements IPMI souffrent de certaines vulnérabilités, comme des mots de passe par défaut simples voire documentés. Ceux-ci doivent être modifiés avant d’utiliser l’administration hors bande pour corriger des segments compromis.
Supervision des performances
Pour voir comment un réseau est administré hors bande, un mécanisme de supervision est requis. Cela peut passer par exemple par SecurityCenter Continuous View de Tenable, qui fournit un tableau de bord d’analyse de risque et de vulnérabilités, ou encore par Modem Health Management de CradlePoint qui assure la supervision de la santé des modems, des interfaces WAN, ainsi que des capacités de journalisation et de diagnostic de base.
Enfin, il convient d’au moins vérifier les dernières CVE et les notifications des CERT pour surveiller les exploits hors bande susceptibles d’avoir été omis par un équipement de supervision.
Adapté de l’anglais.