Protéger votre réseau AMF contre les vulnérabilités

By Rebecca Officer

Au cours des dernières années, le secteur des équipements réseaux a constaté une augmentation du nombre de menaces sérieuses sur la sécurité du réseau venant de vulnérabilités pouvant mener à des fuites de données et à des attaques de déni de service (DoS). Notre interface logicielle de gestion autonome (AMF) peut être utilisée pour aider les administrateurs réseau à protéger leurs réseaux et leurs données contre des attaques sophistiquées en utilisant des niveaux de sécurité avancés pour réduire les vulnérabilités et les risques.

Autonomous Management Framework (AMF)

Allied Telesis Autonomous Management Framework™ (AMF) est un outil puissant et pratique pour simplifier la gestion du réseau. Il réduit le coût et la complexité de la gestion en fournissant une gestion centralisée de plusieurs ou tous les périphériques juste sur le réseau - localement ou dans le monde entier.

L'automatisation de réseau AMF permet une sauvegarde, un provisionnement, une mise à niveau et une récupération sans contact ou à une touche. De plus, AMF dispose de commandes intelligentes pour vous permettre d'identifier rapidement les problèmes de réseau et de les résoudre.

Par défaut, l'AMF inclut de nombreuses fonctions de sécurité, en mettant l'accent à la fois sur la sécurité et sur la commodité. Toutefois, vous pouvez également activer des fonctionnalités facultatives supplémentaires pour optimiser la sécurité.

Le niveau de sécurité par défaut

Par défaut, AMF fonctionne sur un réseau physique fermé et n'échange que des messages AMF sur des liaisons configurées comme des liaisons AMF.

Le protocole AMF n'est pas basé sur IP, ce qui signifie qu'il n'écoute pas les demandes de connexion sur Internet. Les réseaux AMF ne sont pas soumis à un accès à distance.

AMF crée un réseau de gestion L2 (Layer 2) virtuel, sécurisé car le périphérique bloque l'entrée de paquets provenant de réseaux externes dans le réseau de gestion AMF L2.

Cela signifie que les attaquants ne peuvent compromettre un réseau AMF que s'ils ont un accès physique à celui-ci, à moins qu'il n'inclue des liens virtuels sur des chemins non sécurisés.

Des attaques à grande échelle ont été signalées à l'encontre d'appareils tiers qui étaient exploités à distance à travers leurs solutions de configuration automatique. La récupération automatique et le provisionnement AMF autorisent la configuration automatique de nouveaux périphériques, mais AMF n'est pas affectée par les vulnérabilités signalées. AMF n'est pas susceptible d'être attaqué par des hôtes Internet distants car le protocole AMF, de par sa conception, n'est disponible que pour les partenaires de liaison.

Cependant, tout utilisateur privilégié sur un nœud AMF peut configurer n'importe quel autre nœud AMF du réseau.

Nous vous recommandons d'utiliser le niveau de sécurité par défaut uniquement lorsque tous vos noeuds AMF se trouvent dans un endroit isolé physiquement, que vous n'avez aucun lien virtuel AMF sur des chemins non sécurisés et que vous faites entièrement confiance à tous les utilisateurs privilégiés de tous vos noeuds AMF.

Gestion des liens AMF

Vous ne devez configurer un lien qu'en tant que lien AMF s'il relie spécifiquement deux nœuds AMF ensemble.

Si vous faites cela, les attaquants ne peuvent injecter des paquets dans un réseau AMF que s'ils remplacent l'un des nœuds du réseau par un autre noeud. Un attaquant ne peut pas simplement connecter un périphérique supplémentaire dans le réseau. Vous pouvez empêcher un attaquant de remplacer un noeud en gardant tous les nœuds AMF dans un endroit physiquement sécurisé, et / ou en utilisant le mode sécurisé.

Augmenter la sécurité de l'AMF

Il y a trois choses que vous pouvez faire pour augmenter la sécurité d'AMF. Vous pouvez configurer AMF "restricted login" (login restreint); vous pouvez utiliser des VPN pour protéger les liens virtuels AMF qui se trouvent sur des chemins non sécurisés; et vous pouvez activer AMF "Secure Mode". Les sections suivantes décrivent ces trois options.

Login restreint

Avec une connexion restreinte, seuls les utilisateurs privilégiés sur l'AMF master peuvent utiliser des ensembles de travail et des connexions automatiques avec d'autres noeuds AMF. Pour tirer le meilleur parti de la connexion restreinte, l'AMF master doit se trouver dans un endroit physiquement sécurisé.

Protéger les liens virtuels AMF

Les liaisons virtuelles AMF connectent des nœuds non adjacents en acheminant le trafic AMF par tunnel sur les périphériques, dans le chemin entre les nœuds. Cela signifie que la sécurité des liens virtuels dépend de la sécurité des périphériques entre les nœuds. Si vous n'êtes pas sûr que tous ces périphériques sont sécurisés, vous devez protéger le lien virtuel, en particulier s'il est sur Internet.

Vous pouvez protéger les liens virtuels AMF en créant un VPN entre les parties du chemin que vous considérez comme non sécurisées.

Notez que les VPN ne sont pas nécessaires pour protéger les liens virtuels AMF si vous utilisez le mode sécurisé, car le mode sécurisé crypte les paquets AMF. Cependant, si le même chemin transporte d'autres trafics, vous devez protéger ce trafic avec un VPN.

Mode sécurisé

En mode sécurisé, AlliedWare Plus™ crypte tous les paquets AMF et utilise des certificats pour vérifier l'identité de chaque nœud du réseau AMF et offre aux utilisateurs le plus haut niveau de sécurité.

Le mode sécurisé active également la connexion restreinte et ne peut pas être désactivé.

De plus, en mode sécurisé, un nœud ne peut rejoindre le réseau AMF que s'il a été autorisé par un utilisateur privilégié sur l'AMF master. Cela rend impossible pour un attaquant de connecter un périphérique à votre insu.

Configuration de fonctionnalités de sécurité supplémentaires

Ces fonctionnalités vous permettent de contrôler le niveau de sécurité de votre réseau AMF, sans perdre la commodité de la gestion et de la surveillance centralisées de l'AMF.

Vous n'avez pas besoin d'une licence additionnelle pour utiliser l'une de ces fonctions de sécurité supplémentaires, autre que la licence AMF master.

Pour plus de détails sur la configuration des fonctionnalités, reportez-vous au chapitre "Sécurisation AMF" dans le Guide de configuration et de présentation des fonctions AMF.

Vous pourriez aussi aimer...

Meilleures pratiques en matière de sécurité des réseaux Wi-Fi publics

Passpoint offre une solution Wi-Fi publique facile à utiliser et sécurisée.

Comment la mise en réseau favorise la fabrication sans défaut

Les entreprises manufacturières accélèrent leur transformation numérique dans le cadre de la...

En relation

Video: AMF Plug and Play Network Roll-outs

Allied Telesis Autonomous Management Framework (AMF) enables the low-touch automated roll-out of large multi-site networks.

The Top 3 Network Management Challenges

This White Paper looks at how the Allied Telesis Autonomous Management Framework™ (AMF) provides practical solutions to the challenges that Enterprise Networks are facing right now.