Les outils GNU/Linux permettent de structurer la centralisation de la gestion des équipements réseau. La force du logiciel libre c'est la capacité à adapter son infrastructure au plus près de ses besoins. Cette «capacité d'adaptation» a un coût non négligeable.
En phase de conception ou d'évolution d'un système d'information, il faut étudier attentivement le rapport contraintes d'exploitation sur coût d'acquisition.
Il est fréquent de constater qu'au delà du coût d'acquisition d'une solution propriétaire, les fonctionnalités offertes sont très|trop nombreuses et ne répondent pas nécessairement aux besoins. À l'inverse, la mise en œuvre des fonctionnalités décrites dans ce document permet d'atteindre rapidement et simplement des résultats faciles à exploiter.
Pour étudier plus en détails les modalités d'exploitation des équipements réseau voici quelques références documentaires :
Guides de la NSA
De plus en plus souvent, les conseils sur les «bonnes pratiques» de gestion des équipements sont inclues dans les document relatifs à la sécurité. Les guides de la NSA sont les exemples emblématiques de cette tendance. Même si ces guides ne traitent que des équipements Cisco™, il ne devrait pas être trop difficile de les adapter aux interfaces|langages de configuration des autres marques.
- Cisco IOS Switch Security Configuration Guide
-
Le guide Swicth guide version 1.01 est dédié aux commutateurs. Il présente bien sûr beaucoup plus de fonctions que ce document.
- Router Security Configuration Guide
-
Le guide Router guide version 1.1c est une excellente référence sur la sécurisation d'une architecture d'interconnexion réseau. Il va bien au delà de la configuration des équipements.
- Executive Summary
-
La feuille Executive Summary est une checklist définitivement indispensable pour configurer les équipements.
Journalisation système
On reproche beaucoup au service syslog
son manque de sécurité intrinsèque.
C'est oublier un peu vite que pour que ce type de service soit
largement adopté, il doit être «léger» et facile à implanter dans
un espace mémoire réduit. La sécurisation des échanges de messages
syslog
est relativement facile à
obtenir en «canalisant» ces messages hors de la bande passante
utilisateur dans des VLANs ou des réseaux privés virtuels
spécifiques.
Voici quelques références permettant d'argumenter sur cette question :
- Groupe de travail Syslog de l'IETF
-
Page Web du groupe de travail : IETF Syslog Working Group Home Page.
- Présentation HSC
-
Si cette présentation sur Normes utiles en sécurité réseau ne traite pas directement de la journalisation, elle met en évidence son importance en tant qu'outil d'audit et de veille.
Voilà ! On dispose maintenant d'une batterie de fonctions et d'outils de gestion des équipements réseau. Il ne reste plus qu'à composer son système de gestion personnel. Si vous avez déjà eu à administrer un système lourd et coûteux vous réaliserez plus facilement et plus vite combien cette facilité d'adaptation est avantageuse.