Une RFC de bonne conduite pour les Fournisseurs d'Accès à Internet (FAI) - RFC 3013
Date : 12 Juillet 2005
En novembre 2000, une RFC (Request For Comments) a été publiée par l’IETF, établissant une liste de recommandations en terme de procédures et de services dans le domaine de la sécurité que devraient fournir les FAI vis à vis de leurs clients, des acteurs de la sécurité tels que les CERTs, et des autres FAI.
Voici un résumé des recommandations élaborée par le Network Working Group de l’IETF :
Concernant les mécanismes de Communication :
- Le FAI " doit " adhérer à la [RFC2142] qui définit différentes boites aux lettres en fonctions des problèmes soumis (boite à lettre SECURITY pour soumettre des requêtes concernant des problèmes de sécurité sur le réseau, boite à lettre ABUSE pour soumettre des problèmes concernant des comportements abusifs de ses clients, …),
- Le FAI " doit " mettre en place sur son serveur web une partie sécurité (ex : http://www.fai.com/security )
- Le FAI " doit " s’assurer que les informations le concernant dans les bases de type Whois [RFC1786] sont complètes, disponibles et à jour.
- le FAI " doit " avoir une politique et des procédures claires d’échange d’informations sur un incident de sécurité avec ses clients, les autres FAI, les CERTs, les représentants de la loi, la presse et le public en général.
- le FAI " doit " être capable de fournir un canal sécurisé pour l’échange de ce type d’information.
- le FAI " doit " informer ses clients des problèmes de sécurité liés aux services qu’il fournit.
- Le FAI " doit " publier les ressources dont il dispose pour répondre à un incident de sécurité : présence d’un CERT interne ( ou CSIRT – Computeur Security Incident Response Team), service sécurité, …
Concernant la charte (ou politique) de bon usage de l’accès Internet par les clients :
- Le FAI " doit " dans cette charte, qui fait partie intégrale du contrat qui le lie avec ses clients, spécifier les limites d’utilisation de cet accès (interdiction de faire de l’usurpation d’adresse IP, …). De plus, le FAI " doit " avertir ses clients de toute modification le cas échéant.
- Le FAI " doit " rendre publique cette charte sur son serveur web par exemple
- Le FAI " doit " également inclure dans sa charte les sanctions lors de tout contournement de cette dernière.
- Le FAI " doit " être en accord avec la législation sur la protection des données personnelles en vigueur dans le pays où il offre ses services.
Concernant l’infrastructure réseau :
- Le réseau " doit " être raisonnablement robuste aux vulnérabilités connues et difficile à utiliser par des hackers pour attaquer d’autres réseaux
- Le FAI " doit " enregistrer ses données d’adressage et de routage auprès des différents organismes affiliés APNIC, AFNIC, ARIN, RIPE [RFC1786], IRR (Internet Routing registry). Les mises à jour des ces données doivent être effectuées avec une forte authentification des parties (Cf. article du paragraphe 5.6 ).
- Le FAI " doit " sécuriser l’échange des informations de routage à travers des réseaux étendus, afin d’éviter que des trafics soient reroutés vers d’autres réseaux que ceux initialement prévus (utilisation de l’authentification BGP [RFC 2385]).
- Le FAI " doit " mettre en place une politique de filtrage sur ses équipements d'interconnexion pour :
- Empêcher ses clients d’utiliser des adresses IP n’appartenant pas à son plan d’adressage (adresses spoofées) ou privées [RFC2827]
- Empêcher des connexions IP venant d’Internet avec des adresses de clients du FAI (adresses spoofées)
- Contrôler les flux de mises à jour des informations de routage afin d’éviter des charges excessives (voir par exemple la [RFC2439])
- Eviter les broadcasts intempestifs sur le réseau [RFC2644]
Concernant l’infrastructure système
- Le FAI " doit " protéger l’accès aux machines délivrant des services sensibles (serveur de noms -DNS, serveur de messagerie, serveurs web) en restreignant leur accès aux seuls administrateurs et ceci avec une authentification forte et le tout sur canal chiffré (VPN, SSH/SSF, …).
- Seuls les ports des services destinés à la communauté Internet doivent être accessibles sur ces machines.
- Le FAI doit être très sensibles aux nouvelles technologies permettant de sécuriser les services externes offerts par ces machines.
- Le FAI " ne doit pas " attacher ces systèmes sensibles à des segments réseaux utilisés pour le transit.
- Le FAI " doit " protéger ses serveurs de messagerie contre le relayage de mail, les spammers [RFC2505].
- Dans la mesure où les équipements le permettent, l’envoi de message électronique (SMTP) " doit " être authentifié (STMP Service Extension for Authentication [RFC2554]).
- Dans la mesure où les équipements le permettent, le port 587 du serveur de messagerie (" Message submission " [RFC2476]) " doit " être préféré au port 25 pour émettre un message, ceci a des fins de filtrage et de journalisation plus précises.
Cette RFC présente de bonnes bases aux fournisseurs d’accès pour qu’ils protégent aux mieux leur infrastructure et qu’ils gèrent de manière efficace les incidents de sécurité qui leur sont rapportés.
Cette RFC est disponible à l’adresse ftp://ftp.isi.edu/in-notes/rfc3013.txt