Le développement d’Internet s’accompagne d’une augmentation de la présence en ligne des entreprises de toutes tailles. Bien que cela permette des opérations commerciales sans faille, vous devez également tenir compte des risques encourus. Étant donné que les organisations s’appuient sur des réseaux pour mener à bien leurs activités et qu’elles utilisent un large éventail de composants réseau tels que des routeurs, des commutateurs, des serveurs, des pare-feu et des VM, qui exigent tous une gestion continue de bout en bout, il est essentiel de protéger, défendre et d’assurer une bonne surveillance réseau contre les menaces et les attaques.
Les dommages causés au réseau peuvent endommager les données de l’organisation, entraîner des retards de service et, en fin de compte, avoir un impact sur la réputation et les revenus de l’entreprise. À la lumière des occurrences régulières de failles de sécurité, il est essentiel que les administrateurs de la sécurité se concentrent sur la sécurité des applications de surveillance utilisées au sein d’une organisation.
Surveillance du réseau par SNMP : Avant et aujourd’hui
Un outil typique de surveillance du réseau contrôle en permanence la santé et la fiabilité du réseau en suivant et en enregistrant quelques paramètres du réseau. Pour ce faire, il utilise des protocoles de gestion de réseau sécurisés tels que SNMP, CLI, WMI, etc., qui sont pris en charge par la plupart des périphériques réseau et des serveurs Linux. En plus des actions d’interrogation (ou de lecture) du SNMP, celui-ci dispose également de puissantes capacités d’écriture. Grâce à ces capacités d’écriture exceptionnelles, il est possible de configurer n’importe quel appareil à distance. C’est en partie pour cette raison que SNMP est le protocole le plus utilisé pour surveiller et gérer les périphériques connectés à un réseau.
Depuis sa création, SNMP a connu d’importantes mises à jour, avec trois versions existantes actuellement : SNMPv1, SNMPv2c et SNMPv3. L’un des principaux défauts de la version SNMPv1 était l’utilisation de chaînes de communauté en texte clair et la prise en charge de compteurs 32 bits. Les messages SNMP étaient envoyés en clair sur le réseau et toute personne disposant d’un renifleur de paquets pouvait lire les données en clair.
En autorisant l’accès SNMP en mode lecture-écriture, on obtient un contrôle total sur le dispositif, et avec un accès en écriture, on peut remplacer toute la configuration du dispositif. Cela permet aux attaquants de tirer parti des vulnérabilités du protocole et de le rendre sensible aux attaques par force brute.
SNMPv1 a été révisé et quelques améliorations ont été apportées afin d’atténuer les failles de sécurité connues. SNMPv2c a été introduit avec deux opérations de protocole supplémentaires et la prise en charge des compteurs 64 bits (par opposition à la prise en charge des compteurs 32 bits pour SNMPv1). Bien que la version v2c soit plus performante en matière de traitement des erreurs, les risques liés aux chaînes de communauté en texte clair sont restés les mêmes.
SNMPv3 est-il suffisant ?
SNMPv3 ajoute des capacités de sécurité et de configuration à distance aux versions précédentes en utilisant une combinaison d’authentification et de cryptage des paquets sur le réseau. L’authentification garantit que le message reçu provient d’une source valide, et le cryptage (confidentialité) permet de hacher les paquets pour les empêcher d’être accessibles par des sources externes non autorisées.
Ces aspects de SNMPv3 le rendent meilleur que SNMPv1 et SNMPv2c en termes de confidentialité des communications et d’intégrité du transfert des messages. SNMPv3 utilise un large éventail d’algorithmes pour mettre en œuvre l’authentification et le cryptage. Ils varient en fonction des besoins de l’utilisateur et de la complexité de la mise en œuvre.
Les algorithmes utilisés pour l’authentification sont :
MD5 : l’algorithme Message Digest 5 (MD5) prend un message de n’importe quelle longueur en entrée et le transforme en une sortie de hachage de longueur fixe de 128 bits.
SHA-1 : Secure Hash Algorithm 1 (SHA-1) est une fonction de hachage cryptographique standard qui renvoie un hachage de 160 bits pour un texte d’entrée.
La nécessité de SHA-2
Les algorithmes de la fonction de hachage SHA-1 sont depuis longtemps dépassés ; depuis 2017, SHA-1 est considéré comme peu sûr. Les principaux géants de la technologie comme Microsoft, Google, Apple et Mozilla ont cessé d’accepter les certificats SSL SHA-1 après 2017 dans leurs navigateurs. Cependant, 93 % des pages Internet sont toujours vulnérables aux attaques, compte tenu de l’implémentation profondément ancrée du SHA-1. La migration vers SHA-2 n’est pas une question de “ça”, mais de “quand” ; et avec l’augmentation rapide de la demande des clients pour des environnements sécurisés et le support largement disponible de SHA-2, il est essentiel pour tout outil de surveillance de l’appliquer dès que possible.
Prise en charge inédite de SHA-2 pour la surveillance réseau SNMP
SHA-2 renvoie une valeur hachée de longueur fixe pour toute entrée donnée. Plus la longueur de la sortie est élevée, plus elle est sécurisée. Dans le but d’améliorer la confidentialité des utilisateurs et l’intégrité des données, OpManager a mis en place l’utilisation de SHA-2 pour l’authentification SNMPv3.
SHA-2, une évolution de l’algorithme SHA-1 existant, renvoie un nombre de bits considérablement plus important dans le message de sortie que SHA-1. L’algorithme SHA-2, une famille des deux fonctions de hachage SHA 256 et SHA 512, renvoie respectivement des valeurs hachées de 256 bits et de 512 bits, ce qui représente une amélioration majeure par rapport au message de 160 bits perforé par l’ancien algorithme SHA-1. Cela rend l’algorithme SHA-2 comparativement plus sûr que ses prédécesseurs, SHA-1 et MD5.
SHA-1 vs. SHA-2
Le niveau de sécurité de ces algorithmes est mesuré à l’aide d’un aspect appelé collision. Pour toute entrée définie, les algorithmes produisent une valeur hachée unique. Si deux entrées données produisent la même valeur hachée, cela signifie qu’il y a collision, ce qui rend le protocole vulnérable.
SHA-1, qui renvoie une valeur de 160 bits, est capable de produire 2^160 valeurs différentes, tandis que SHA-256 peut produire 2^256, et SHA-512 peut produire 2^512 valeurs hachées différentes pour des entrées données. Ainsi, plus la possibilité de produire des valeurs est grande, plus le risque de collision est faible. Cela rend le SHA-2 beaucoup plus sûr par rapport à sa version précédente.
Utilisation de SHA-2 dans OpManager
Pour toute entreprise, un réseau sécurisé est essentiel. Investir dans un outil de surveillance robuste et sûr aide grandement à maintenir un environnement sécurisé et à protéger votre entreprise des menaces en ligne. OpManager de ManageEngine est une solution unique et fiable de surveillance de réseau qui aide les entreprises, les fournisseurs de services et les petites et moyennes entreprises à surveiller leurs réseaux dans les centres de données et les infrastructures informatiques de manière efficace et rentable. SHA-2 pour l’authentification SNMPv3 est disponible dans les builds v126116 et plus et peut être trouvé dans la section “Add Credential”du module Discovery.
Vous débutez avec OpManager et vous voulez essayer ces fonctionnalités vous-même ? Obtenez une démo gratuite et personnalisée ici. Si vous êtes déjà un utilisateur d’OpManager, veuillez passer à la dernière version pour une expérience de surveillance SNMP plus sûre et plus sécurisée.
Source : Stepping up your security: Protect your network monitoring environment using SHA-2