La sécurité des services réseau consiste à protéger les services d'infrastructure qui permettent le fonctionnement du réseau et des communications. L'ISO 27002 mesure 8.21 recommande cinq principes de sécurisation :

• Durcissement des services : désactiver les fonctionnalités non nécessaires, appliquer les configurations sécurisées, mettre à jour régulièrement
• Authentification et autorisation : contrôler qui peut utiliser les services, authentifier les serveurs et clients, restreindre les accès
• Chiffrement des communications : protéger la confidentialité et l'intégrité des échanges (DNS over TLS, HTTPS proxy, SMB signing)
• Redondance et disponibilité : éviter les points de défaillance unique, maintenir la continuité de service même en cas de panne
• Surveillance et journalisation : monitorer l'activité des services, détecter les anomalies, conserver les logs pour investigation

Ces principes visent à garantir que les services réseau restent fiables, disponibles et ne deviennent pas des vecteurs d'attaque.

Rôle critique du DNS

Le DNS traduit les noms de domaine en adresses IP : sans DNS fonctionnel, impossible d'accéder aux sites web, emails ne fonctionnent plus, applications cloud inaccessibles. C'est l'annuaire du réseau et d'Internet.

Attaques DNS courantes

DNS spoofing/cache poisoning : empoisonner le cache DNS pour rediriger vers sites malveillants, vol de credentials sur faux sites bancaires, distribution de malwares, DNS hijacking : détourner les requêtes DNS vers serveurs contrôlés par l'attaquant, DDoS sur serveurs DNS : saturer les serveurs DNS pour rendre inaccessibles tous les services, DNS tunneling : utiliser le DNS pour exfiltrer des données (contourner les pare-feu).

Sécurisation DNS

DNSSEC (DNS Security Extensions) : signature cryptographique des réponses DNS, garantit l'authenticité et l'intégrité des réponses, empêche le cache poisoning, déployer sur les domaines de l'organisation.

Serveurs DNS séparés : DNS interne (Active Directory) pour la résolution des noms internes, accessible uniquement depuis le réseau interne, DNS externe (résolveur Internet) pour la résolution des noms publics, peut utiliser DNS publics sécurisés (Cloudflare 1.1.1.1, Google 8.8.8.8, Quad9 9.9.9.9) ou serveurs maîtrisés.

DNS over HTTPS (DoH) / DNS over TLS (DoT) : chiffrement des requêtes DNS entre clients et résolveurs, empêche l'espionnage et la manipulation des requêtes DNS, active par défaut dans navigateurs modernes, configurer au niveau de l'infrastructure pour contrôle centralisé.

Filtrage DNS : bloquer l'accès aux domaines malveillants connus (malwares, phishing, C&C), solutions : Cisco Umbrella, Cloudflare Gateway, Pi-hole (auto-hébergé), DNS RPZ (Response Policy Zones) pour bloquer domaines spécifiques.

Restriction accès serveurs DNS : limiter qui peut interroger les serveurs DNS internes (uniquement réseau interne), limiter qui peut modifier les zones DNS (administrateurs autorisés uniquement), désactiver les transferts de zone vers l'extérieur (évite la reconnaissance).

Rôle du DHCP

Attribution automatique des configurations réseau aux équipements : adresse IP, masque de sous-réseau, passerelle par défaut, serveurs DNS. Sans DHCP, configuration manuelle de chaque poste (erreurs fréquentes, gestion lourde).

Attaques DHCP

Rogue DHCP server : serveur DHCP pirate sur le réseau distribue des configurations malveillantes (passerelle frauduleuse = interception trafic, DNS malveillant = redirection sites), DHCP starvation : épuiser le pool d'adresses IP disponibles pour bloquer les nouvelles connexions, DHCP spoofing : répondre plus rapidement que le serveur légitime.

Sécurisation DHCP

DHCP snooping : fonctionnalité des switches managés qui filtre les messages DHCP, seuls les ports autorisés (uplinks vers serveur DHCP légitime) peuvent envoyer des réponses DHCP, tous les autres ports rejettent les réponses DHCP (bloque serveurs pirates).

Réservation DHCP : associer adresses IP fixes à des adresses MAC spécifiques, pour serveurs, imprimantes, équipements critiques, garantit stabilité et traçabilité.

Scopes DHCP séparés par VLAN : chaque VLAN a son propre scope DHCP avec configuration adaptée, segmentation logique, facilite le contrôle et l'audit.

Autorisation DHCP dans Active Directory : seuls les serveurs DHCP autorisés dans AD peuvent servir des baux, empêche serveurs DHCP non approuvés même s'ils sont sur le réseau.

Logs DHCP : journaliser toutes les attributions d'adresses (qui, quand, quelle IP, quelle MAC), conserver logs minimum 90 jours, permet investigation incidents (qui avait telle IP à tel moment ?).

Importance de la synchronisation horaire

Horloge précise essentielle pour : logs et audit : corréler les événements entre systèmes (impossible si horloges désynchronisées), certificats SSL/TLS : validité basée sur l'horloge (certificat rejeté si heure incorrecte), authentification Kerberos : tolérance maximale 5 minutes de décalage (échec si désynchronisé), transactions financières : horodatage critique, conformité : traçabilité temporelle des opérations.

Attaques NTP

NTP spoofing : envoyer de fausses réponses NTP pour désynchroniser les horloges, invalider certificats, perturber Kerberos, corrompre les logs, NTP amplification DDoS : utiliser serveurs NTP publics mal configurés pour amplifier attaques DDoS.

Sécurisation NTP

NTP authentifié : clés symétriques pour authentifier les serveurs NTP, empêche l'acceptation de réponses NTP non authentifiées, configurer sur serveurs et clients.

Hiérarchie NTP interne : stratum 0 : horloge de référence (GPS, horloge atomique) si infrastructure critique, stratum 1 : serveurs NTP internes synchronisés sur sources fiables externes (pool.ntp.org, time.google.com, time.cloudflare.com), stratum 2+ : tous les équipements internes synchronisés sur serveurs NTP internes (pas directement sur Internet).

Architecture : Internet (sources NTP publiques) → Serveurs NTP internes → Tous équipements internes.

Restriction accès serveurs NTP : limiter qui peut interroger les serveurs NTP internes (réseau interne uniquement), désactiver mode monlist (évite amplification DDoS), configurer ACL (Access Control Lists) sur serveurs NTP.

Monitoring décalages horaires : alertes si décalage > 1 seconde par rapport à référence, vérification régulière synchronisation (ntpq -p).

Rôle du proxy

Intermédiaire entre utilisateurs et Internet : filtrage web : bloquer accès sites malveillants/inappropriés, cache : améliorer performances (pages fréquentes en cache), authentification : contrôler qui accède à Internet, journalisation : tracer toutes les requêtes web, inspection SSL : analyser trafic HTTPS chiffré.

Types de proxy

Proxy explicite : navigateurs configurés pour utiliser le proxy (paramètres manuels ou GPO), utilisateurs savent qu'ils passent par le proxy, Proxy transparent : interception automatique trafic HTTP/HTTPS au niveau réseau, utilisateurs ne voient rien (transparent), **WPAD** (Web Proxy Auto-Discovery) : configuration automatique proxy via DHCP ou DNS, simplifie déploiement mais risque d'attaques WPAD.

Sécurisation proxy

Authentification obligatoire : identification utilisateurs avant accès Internet (NTLM, Kerberos, LDAP), traçabilité nominative des accès, blocage accès non authentifiés.

Inspection SSL/TLS : déchiffrer trafic HTTPS pour analyser contenu (détection malwares, DLP, filtrage URL), re-chiffrer avant envoi à destination, nécessite installation certificat racine proxy sur postes.

Attention : inspection SSL casse la confidentialité bout-en-bout, exceptions nécessaires (sites bancaires, santé), transparence envers utilisateurs (politique affichée).

Filtrage par catégories : bloquer catégories de sites (malwares, phishing, adult, gambling, streaming, réseaux sociaux selon politique), listes noires/blanches, bases de catégorisation (Brightcloud, Webroot, Symantec).

Anti-malware intégré : scanner fichiers téléchargés en temps réel, bloquer téléchargement si malware détecté, sandboxing pour fichiers suspects.

Logs détaillés : enregistrer toutes requêtes (utilisateur, URL complète, date/heure, taille, action), conservation minimum 90 jours (1 an recommandé pour investigations), RGPD : informer les utilisateurs de la journalisation.

SMB - Server Message Block

Protocole partage de fichiers Windows : accès serveurs de fichiers, imprimantes réseau, partages administratifs (C$, ADMIN$).

Vulnérabilités SMB

SMB a historiquement de nombreuses failles critiques : EternalBlue (CVE-2017-0144) : exploitée par WannaCry et NotPetya, exécution code à distance sans authentification, SMBGhost (CVE-2020-0796) : Windows 10/Server 2019, propagation latérale : une fois sur le réseau, SMB permet de se propager facilement.

Sécurisation SMB

SMB signing : signature cryptographique des paquets SMB, empêche attaques man-in-the-middle et relay attacks, activer obligatoirement sur serveurs et clients (GPO).

Désactiver SMBv1 : version 1 obsolète et dangereuse (vulnérabilités non corrigeables), désactiver partout (Windows, NAS), utiliser uniquement SMBv2/SMBv3.

Chiffrement SMB : SMB 3.0+ supporte chiffrement natif bout-en-bout, activer pour partages sensibles, empêche interception trafic.

Permissions strictes : NTFS permissions granulaires (qui accède à quoi), pas de partages "Tout le monde - Contrôle total", auditer régulièrement les permissions, supprimer partages obsolètes.

Bloquer SMB Internet : ports TCP 445, 139, UDP 137-138 bloqués en entrée et sortie sur pare-feu périmétrique, SMB ne doit JAMAIS être exposé sur Internet.

NFS - Network File System

Protocole partage fichiers Unix/Linux.

Sécurisation NFS : NFSv4 avec Kerberos (authentification forte), exports restreints (IP spécifiques, read-only quand possible), pas de no_root_squash (dangereux), pare-feu limitant accès aux serveurs autorisés.

Sécurisation messagerie

SPF (Sender Policy Framework) : enregistrement DNS listant serveurs autorisés à envoyer emails pour le domaine, récepteurs vérifient SPF pour détecter spoofing.

DKIM (DomainKeys Identified Mail) : signature cryptographique des emails, garantit que l'email n'a pas été modifié en transit, prouve qu'il vient bien du domaine revendiqué.

DMARC (Domain-based Message Authentication) : politique définissant quoi faire des emails échouant SPF/DKIM (rejeter, quarantaine), rapports d'échecs pour monitoring.

TLS obligatoire : chiffrement SMTP, IMAP, POP3 via TLS/SSL, refuser connexions non chiffrées (STARTTLS obligatoire), certificats SSL valides.

Anti-spam et anti-malware : filtrage emails entrants (SpamAssassin, solutions cloud), sandbox pour pièces jointes suspectes, blocage extensions dangereuses (.exe, .scr, .bat).

Authentification SMTP : authentification obligatoire avant envoi email (empêche relais ouvert), limiter relais aux IP/utilisateurs autorisés.

Sécurisation VPN

Protocoles sécurisés : IKEv2/IPsec (recommandé entreprise), OpenVPN (flexible, open source), WireGuard (moderne, performant), éviter PPTP (obsolète, vulnérable), L2TP seul sans IPsec (pas de chiffrement).

Authentification forte : MFA obligatoire (mot de passe + code OTP), certificats clients pour authentification machine, révocation immédiate certificats lors départ employé.

Chiffrement robuste : AES-256 pour chiffrement, SHA-256+ pour intégrité, Perfect Forward Secrecy (PFS) pour renouvellement clés.

Split tunneling contrôlé : par défaut : tout le trafic passe par VPN (full tunnel), split tunneling (seul trafic entreprise via VPN) uniquement si justifié et contrôlé, jamais pour postes accédant à données sensibles.

Timeout et déconnexion : sessions VPN limitées dans le temps (8-12h max), reconnexion obligatoire, déconnexion automatique après inactivité (30 min).

Éliminer les SPOF (Single Point of Failure)

Services critiques doivent être redondants : DNS : minimum 2 serveurs DNS (primaire + secondaire), idéalement 3+ pour résilience, **DHCP** : DHCP failover (2 serveurs partageant scopes), basculement automatique, NTP : 3 serveurs NTP minimum (algorithme sélection meilleur), Proxy : load balancing entre plusieurs proxies, basculement automatique.

Geographical distribution

Pour infrastructures critiques, séparer géographiquement : serveurs dans datacenters distincts, liens réseau diversifiés (différents opérateurs), basculement automatique si site principal indisponible.

Monitoring disponibilité

Surveillance continue de l'état des services : checks santé : ping, requête test toutes les 1-5 minutes, alertes : notification immédiate si service down, escalade si non résolu rapidement, SLA tracking : mesurer disponibilité réelle vs objectif (99.9%, 99.99%).

Logs à conserver

DNS : toutes requêtes (qui a demandé quoi, quand), réponses fournies, erreurs et anomalies, DHCP : attributions IP (MAC, IP, durée bail), renouvellements et libérations, conflits détectés, Proxy : toutes requêtes HTTP/HTTPS (utilisateur, URL, heure, taille), sites bloqués (tentatives accès), téléchargements, VPN : connexions/déconnexions (utilisateur, IP source, durée), données transférées, échecs authentification.

Durée de rétention

Minimum : 90 jours pour tous les services, Recommandé : 1 an (permet investigations incidents passés), Conformité : vérifier obligations légales sectorielles.

Centralisation logs

SIEM (Security Information and Event Management) : agrège logs de tous services réseau, corrélation multi-sources (détection attaques complexes), alertes temps réel sur patterns suspects, tableaux de bord et rapports.

Protection des logs

Intégrité : logs en lecture seule après écriture, signature ou hachage pour détecter modifications, Confidentialité : accès restreint (administrateurs et équipe sécurité), chiffrement si logs contiennent données sensibles, Disponibilité : sauvegarde régulière des logs, stockage redondant.

• SMBv1 actif : laisser SMBv1 activé expose à des vulnérabilités critiques non corrigeables. Désactivation obligatoire partout.
• DNS publics non filtrés : utiliser directement 8.8.8.8 sans contrôle expose au DNS tunneling et perte de visibilité. Utiliser proxy DNS ou filtrage.
• Pas de redondance services critiques : un seul serveur DNS/DHCP/NTP est un SPOF. Minimum 2 serveurs pour chaque service critique.
• Logs non conservés : sans logs, impossible d'investiguer incidents. Conservation minimum 90 jours obligatoire.

La sécurité des services réseau protège les services d'infrastructure critiques (DNS, DHCP, NTP, proxy, SMB, email, VPN) contre les attaques et défaillances. Le DNS est sécurisé via DNSSEC, DoH/DoT, filtrage, et séparation interne/externe. Le DHCP utilise DHCP snooping (blocage serveurs pirates), autorisation Active Directory, et réservations MAC. Le NTP implémente authentification, hiérarchie interne (synchronisation sur sources fiables puis distribution interne), et monitoring des décalages.

Le proxy web impose authentification obligatoire, inspection SSL/TLS (avec exceptions sensibles), filtrage par catégories, et logs détaillés. SMB nécessite SMB signing obligatoire, désactivation SMBv1, chiffrement SMB3, permissions strictes, et blocage exposition Internet. L'email utilise SPF/DKIM/DMARC anti-spoofing, TLS obligatoire, et filtrage anti-spam/malware. Le VPN requiert MFA, protocoles sécurisés (IKEv2/IPsec, OpenVPN), chiffrement AES-256, et contrôle split tunneling.

La redondance élimine les points de défaillance unique (minimum 2 serveurs DNS/DHCP, 3 serveurs NTP). La journalisation centralise les logs dans un SIEM avec conservation minimum 90 jours et protection de l'intégrité.