Récentes publications du NIST
Date : 06 Juillet 2005
Le NIST (National Institute of Standards and Technology) possède une division se consacrant à la sécurité informatique appelée CSD (Computer Security Division). Cette division dirige des travaux dans cinq domaines de recherche : la cryptographie, les tests de sécurité, les nouvelles technologies de sécurité, la gestion de la sécurité et la formation/vulgarisation. Dans le cadre de ces recherches, la division CSD est amenée à publier un certain nombre de documents.
A ce titre, trois publications méritent d'être signalées :
1°) Recommandations sur les garde-barrières et leur politique de sécurité :
Ce document présente les récents développements concernant les garde-barrière, et fournit des recommandations sur la configuration d'un firewall. Il explique les mécanismes de contrôle d'accès, le filtrage de contenu, la notion de DMZs (DeMilitarized Zones – Zones démilitarisées), les VPNs (Virtual Private Networks), la détection d'intrusion, les serveurs Web et les serveurs de messagerie. Il est par exemple recommandé de placer les serveurs Web internes dans une DMZ dite interne, et les serveurs Web externes dans une DMZ externe (utilisation de deux garde-barrière); des exemples de configuration sont également donnés pour mettre en place une architecture garde-barrière avec des serveurs Web, des serveurs mail et des outils de détection d'intrusion. Ce document donne enfin des recommandations sur la politique de sécurit&eacut! e; à appliquer vis à vis du garde-barrière et sur son administration. Un certain nombre de références sont fournies sur ces différents sujets.
2°) Guide pour l'interconnexion des systèmes d'information (draft) :
Il s'agit d'un draft (brouillon) fournissant des règles pour plannifier, établir, maintenir et cloturer des interconnexions entre des systèmes d'information qui sont administrés par différentes organisations. Il explique notamment que, lors de la maintenance d'une interconnexion, des revues de sécurité doivent être conduites afin de s'assurer que le niveau de protection est bien celui souhaité. Ainsi, les différentes organisations impliquées doivent travailler conjointement pour rapporter les incidents de sécurité, et surtout pour produire une réponse concertée à cet incident (par exemple, avant de prendre des actions comme éteindre une machine, désactiver un compte, modifier la configuration d'un routeur ou d'un firewall, ou encore arrêter un système). Enfin, ce draft aborde la cloture d'une interconnexion! , qu'elle soit planifiée (dans ce cas, l'entité décideuse doit en avertir l'autre entité), ou non (en cas d'alerte de sécurité notamment).
3°) Utilisation de la norme CVE (draft) :
Ce document est un draft concernant l'utilisation de la norme CVE (Common Vulnerability and Exposures). Pour rappel, cette norme est une liste ou un dictionnaire qui fournit des références uniques pour les failles et vulnérabilités de sécurité publiquement connues concernant les systèmes d'information (voir le Bulletin n°43 du Cert-IST du mois d'avril 2001).
Ce draft recommande aux entreprises de privilégier les produits et services référencés par la norme CVE, de rechercher sur leur système les vulnérabilités listées dans CVE et dans la mesure du possible, d'utiliser cette norme lorsqu'ils communiquent des descriptions de vulnérabilités.
Pour plus d'information
- Recommandations sur les firewalls et leur politique de sécurité : http://csrc.nist.gov/publications/nistpubs/800-41/sp800-41.pdf
- Guide pour l'interconnexion des systèmes d'information : http://csrc.nist.gov/publications/drafts/guide_for_interconnecting_information_system.pdf
- Utilisation de la norme CVE : http://csrc.nist.gov/publications/drafts/Use_of_the_CVE.PDF