Aller au contenu principal

Accès TSE distant

Cédric PASCUAL
  • Mise à jour

mceclip1.png

L'accès aux ressources de l'entreprise partout est devenu depuis quelques années un besoin nécessaire. Cependant cette solution technique dois être mis en place en respectant quelques règles de sécurités que nous développerons ici. Ces points sont importants et permettrons s’ils sont respecté de se prémunir au maximum des risques suivants :

  • Vol de données confidentielles
  • Perte de données (Sabotage)
  • Demande de rançon suite a un cryptage criminel des données

Quelques définitions pour comprendre

Voici un bref résumé des quelques notions à comprendre pour assimiler le langage qui suivra : 

  • Port réseau :
    Pour simplifier, on peut considérer les ports comme des portes donnant accès au système d'exploitation : (Microsoft Windows, Mac OS, GNU/Linux, Solaris…). Pour fonctionner, un programme (par exemple la prise en main a distance) ouvre des portes pour entrer dans le système d'exploitation. Les ports sont chiffrés de 1 a 65535 et respectent un standard que vous pouvez consulter ici https://fr.wikipedia.org/wiki/Port_(logiciel))

  • Adresse IP publique : 
    Les adresses IPv4 sont dites publiques si elles sont enregistrées et routables sur Internet, elles sont donc uniques mondialement. À l'inverse, les adresses privées ne sont utilisables que dans un réseau local, et ne doivent être uniques que dans ce réseau. La traduction d'adresse réseau, réalisée notamment par les box internet, transforme des adresses privées en adresses publiques et permet d’accéder à Internet à partir d'un poste du réseau privé.
    https://fr.wikipedia.org/wiki/Adresse_IP

  • Socket : Association d'une adresse IP (privé ou public) et d'un port réseau sous la forme ADRESSE-IP : PORT

  • Règle de NAT (Network Adress Translation) : 
    En réseau informatique, on dit qu'un routeur (LIVEBOX ou autre) fait du NAT lorsqu'il fait correspondre des adresses IP. En particulier, un cas courant est de permettre à des machines disposant d'adresses qui font partie d'un réseau local (et ne sont ni uniques ni routables à l'échelle d'Internet) de communiquer avec le reste d'Internet en faisant semblant d'utiliser des adresses IP Publique unique et routables.
    Ainsi, il est possible de faire correspondre une seule adresse IP publique visible sur Internet à toutes les adresses d'un réseau privé, afin de pallier l'épuisement des adresses IPv4.
    https://fr.wikipedia.org/wiki/Network_address_translation
  • Attaque Brute Force :
    L'attaque par force brute est une méthode utilisée en cryptanalyse pour trouver un mot de passe ou une clé. Il s'agit de tester, une à une, toutes les combinaisons possibles.
    https://fr.wikipedia.org/wiki/Attaque_par_force_brute

Cas les plus fréquents

Solution technique mis en place

Il est possible d'accéder a des ressources depuis l’extérieur de l'entreprise par la connexion internet. Dans la plupart des cas, nous rencontrons la solution "technique" suivante pour accéder à distance aux ressources de l'entreprise : 

mceclip0.png

Le PORT RESEAU 3389 du serveur (et donc son IP) hébergeant les ressources servant par défaut au contrôle a distance sur l'ensemble des systèmes Microsoft est redirigé par de ROUTEUR de l'entreprise vers l'adresse IP PUBLIQUE grâce à une règle de NAT. 
Ainsi un Socket privé est égal un Socket public

Exemple : 192.168.1.250:3389 = 92.66.34.8:3389

Qu’est-ce que cela implique ?

Dans le cas présent, pour toute personne se trouvant sur internet, le simple fait de réaliser un contrôle a distance sur le Socket 92.66.34.8:3389 permet d'atteindre la page d’authentification du serveur. Il n'y a plus qu'à trouver LOGIN + MOT DE PASSE par une attaque BRUTE FORCE et l'ensemble du système est accessible.

La bonne méthode

De nombreux sites et articles sur internet parlent de ce sujet. L'accès à distance a une ressource entreprise dois se faire via un lien sécurisé. Lorsque nous parlons de lien sécurisé il s'agit effectivement d'un accès VPN (Virtual Private Network) qui crée une liaison cryptée entre le poste distant se trouvant hors de l'infrastructure de l'entreprise et la ressource que l'on souhaite atteindre. Le Trafic est ainsi contrôlé par le pare-feu de l'entreprise qui traitera les accès VPN ainsi que l'ensemble des accès internet de la société.

"En informatique, un réseau privé virtuel, abrégé VPN – Virtual Private Network (et RPV au Québec1), est un système permettant de créer un lien direct entre des ordinateurs distants, qui isole leurs échanges du reste du trafic se déroulant sur des réseaux de télécommunication publics."
(Source https://fr.wikipedia.org/wiki/R%C3%A9seau_priv%C3%A9_virtuel)

mceclip3.png

Pour mettre en place cette solution, mceclip2.png a choisi de s'appuyer sur les technologies STORMSHIELD et aussi de certifier son personnel afin de remplir les différentes missions concernant ce matériel.

mceclip5.png

 

Commentaires

0 commentaire

Vous devez vous connecter pour laisser un commentaire.

Réalisé par Zendesk