Problèmes de sécurité

Tout réseau avec accès Internet est exposé à certains risques concernant la sécurité. En outre, certaines fonctions de Solaris for ISPs introduisent d'autres risques. Dans chaque cas, plusieurs mesures de sécurité peuvent être mises en oeuvre pour protéger votre réseau. Les sections suivantes présentent certaines pratiques d'administration système adaptées et des fonctions de Solaris for ISPs vous permettant de sécuriser votre réseau et de le mettre à l'abri de ce risque.

Risques pour la sécurité Internet standard

La connexion du réseau à d'autres réseaux sur l'Internet l'expose à des interruptions de service potentiels, à une intrusion illicite et à des dommages importants. Cette section vous fait prendre conscience de ce type de risque. Les protections contre ces risques sont décrites dans "Comment renforcer la sécurité?".

• Attaques refus de services : Ces attaques interdisent au système de servir les clients et rend un service non disponible pour les clients. Par exemple, les attaques peuvent encombrer le réseau avec un trafic inutile compromettant la qualité du service aux clients. Très souvent, de telles attaques peuvent bloquer le système ou le ralentir considérablement.

• Exploits (piratage) de dépassement de capacité de tampon : Ces événements incluent l'exploitation des faiblesses logicielles pour ajouter des données arbitraires dans un programme qui, lorsqu'il est exécuté comme racine, peut donner à l'exploiteur un accès racine dans votre système. Cela peut également entraîner une attaque refus de services.

• Attaques usurpation et écoute : Les attaques usurpation impliquent une intrusion d'écoute du trafic entre deux machines sur votre réseau. Le trafic peut inclure l'échange de mots de passe cryptés lors de l'utilisation de telnet, rlogin ou ftp. Cela peut permettre à un individu de s'introduire illicitement dans votre réseau ou de lire des données confidentielles.

• Usurpation IP : Les attaques basées sur l'usurpation IP impliquent un accès non autorisé à des ordinateurs. L'intrus écoutant le trafic de votre réseau trouve une adresse IP d'un hôte de confiance et envoie des messages indiquant que le message provient de cet hôte de confiance.

• Exposition interne : La plupart des intrusions illicites dans des réseaux sont le fait d'un employé actuel ou d'un ancien employé malveillant utilisant à mauvais escient l'accès à des informations ou s'introduisant de façon illicite dans votre réseau.

Risques relatifs à la sécurité dans Solaris for ISPs

Cette section traite de certaines fonctions de Solaris for ISPs pouvant créer des risques de sécurité pour le logiciel. Veuillez vous reporter à "Comment renforcer la sécurité?" pour plus de détails concernant la protection contre ces risques.

• Administration de produits : Les produits d'administration Solaris for ISPs pour services individuels, tels que ftp ou groupes de discussion, offrent de nouvelles possibilités d'accès à des opérations privilégiées. Cet intrus, en connaissant, en devinant ou en déplombant le mot de passe de l'administrateur, peut modifier le comportement des services en exploitant l'interface d'administrateur à travers le réseau. Cependant, Sunscreen^TM SKIP, intégré dans Solaris for ISPs, authentifie le trafic entrant et garantit que les données sortantes ne sont pas visualisées par d'autres personnes en cours de transit.

• Mécanisme d'exécution d'une commande distante : Sun Internet Administrator donne accès à toutes les commandes d'administration de ligne de commande par l'intermédiaire de son mécanisme d'exécution distante de console administrateur. Un intrus peut s'introduire dans ce mécanisme et avoir accès à ces commandes. Cependant, l'accès à ces commandes peut être limité, par racine, uniquement aux administrateurs système enregistrés.

• Sun Directory Services : Ce logiciel Solaris for ISPs peut être utilisé pour stocker et gérer des mots de passe et des informations sur d'autres extensions et services Solaris for ISPs. Un intrus peut s'introduire illicitement et exploiter l'accès à de telles informations privilégiées. Cependant, la plupart des mots de passe dans Sun Directory Services sont cryptés. Les mots de passe non cryptés dans Sun Directory Services nécessitent un accès racine.

Comment renforcer la sécurité?

Pour protéger votre système contre tout accès illicite, corruption ou modification des informations, et pour rendre le réseau disponible pour les utilisateurs autorisés :

• Changez régulièrement les mots de passe et encouragez l'utilisation de mots de passe difficiles à deviner. Le logiciel Solaris for ISPs impose le changement des mots de passe périodiquement si des fichiers locaux sont employés pour la gestion des mots de passe.

• Utilisez une cryptographie à clé publique pour crypter tout le trafic effectué entre hôtes de confiance au niveau IP. SKIP, livré avec Solaris for ISPs, authentifie le trafic IP entrant et s'assure que les données sortantes ne sont ni modifiées ni visualisées par d'autres en cours de transit.

• Utilisez des routeurs pouvant identifier des hôtes de confiance et bloquer les adresses IP usurpées.

• Réparez les vulnérabilités et renforcez la sécurité de votre logiciel.

• Désactivez les services non désirés créant des risques pour la sécurité de votre réseau. Le logiciel de configuration d'hôte de Solaris for ISPs, partie intégrante du processus d'installation initial, peut désactiver certaines commandes 'r' pour assurer une protection pour les mots de passe et pour limiter l'accès aux hôtes pour les individus non autorisés.

• Donnez aux employés uniquement l'accès aux données ou aux infomations dont ils ont besoin pour leur travail.

• Mettez en oeuvre des mécanismes de sécurité tels que la surveillance du réseau et des pare-feu.