Sécurité des points d’accès et contrôleur d’accès au réseau

Introduction aux défenses de réseaux internes

Défenses internes vs. défenses du périmètre

• Définir une stratégie de sécurité globale
• Estimer les menaces intérieures et les attaques côté client
• Changer de paradigme

• Établir une stratégie de contrôle d’accès basée sur le risque
• Choisir des stratégies d’accès sans fil et à distance
• Surveiller et contrôler le trafic réseau

Établir les VLAN pour isoler le trafic

Développer une stratégie VLAN

• Décider du nombre et du type de VLAN, configurer le trunking des VLAN et gérer les VLAN au niveau central

• Restreindre l’accès l’accès avec la sécurité des ports
• Définir les VLAN « quarantaine » et « invité »
• Activer les VLAN de gestion Out–of–Band (OOB)

Mettre en œuvre le contrôleur d’accès au réseau

Installer un serveur NAC

• Déterminer le type de serveur NAC adéquat
• Exploiter l’infrastructure des VLAN

• Installer les authentificateurs, authentifier avec les certificats et les serveurs RADIUS, refuser les appareils sauvages

Établir des serveurs de stratégie et des espaces de stockage des stratégies

Exploiter le NAC pour mettre en oeuvre des serveurs de Stratégie

• Configurer les stratégies sur le serveur
• Mettre en application des BYOD avec la stratégie

• Établir les espaces de stockage des logiciels
• Pousser les patchs de l’OS et des applidations vers les clients

• Réaliser une vérification du système
• Valider des profils avant et après connection
• Mettre en quarantaine les appareils non conformes

Gérer la confidentialité des données

Établir une politique de chiffrement

• Gérer les appareils mobiles et les médias amovibles
• Intégrer les techniques de Data Loss Prevention (DLP)

• Exploiter les KPI pour générer une clé de récupération d’entreprise et mettre en application le chiffrement du disque entier pour le point de terminaison

Prévenir et détecter l’exfiltration de données

Développer une stratégie de perte de données

• Autoriser le trafic nécessaire et refuser le trafic dangereux
• Mettre les applications approuvées sur liste blanche
• Réguler les appareils joints USB

• Prévenir les tunnels cachés au sein du trafic DNS et HTTP
• Retrouver les clients infectés

Mettre en oeuvre les défenses Anti–Malware

Déployer les anti–malware

• Pousser le logiciel défensif vers le point de terminaison avec la Protection d’accès réseau
• Établir des serveurs de mise à jour des signatures anti–malware internes et gérer les utilisateurs mobiles et à distance

• Sélectionner des honeypot virtuels ou physiques
• Déterminer le placement VLAN, surveiller les honeypots

Activer la détection et la prévention d’intrusion internes

Déployer des IDS/IPS basés sur l’hôte/le réseau

• Personnaliser l’IDS/IPS pour réduire les faux positifs
• Décider des options de déploiement

• Prévenir les fuites d’informations d’identification personnelle
• Analyser les réponses manuelles vs. automatiques
• Élaborer des stratégies de confinement

Reporting et vérification de conformité

• Générer des rapports pour les systèmes conformes et non conformes
• SOX
• EISMA
• PCI
• HIPAA