Linux. Sécuriser Un Réseau

11960_Securiser_Linux_XP 31/10/069:40Page1 PROMISCUOUS) avec SSH,SSLetX.509 SSL et ClamAV les fichiers feu DMZ marquage, TOS,TTL,modebridge ou àclépublique raindscriiasX59:bi-clésRSA,PKCS12 Création descertificatsX.509 » SingleSignOn Authentification uniqueou« Gestion descomptesutilisateuret authentification • Distributions Linuxsécurisées Enjeux etobjectifsdesécurité PAM, lescertificatsX509etPKI… tion detableauxbord)etl’authentificationunique(SSO)avecLDAP,Kerberos, MRTG, empreintesTripwire,détectiond’intrusionavecdesoutilstelSnort,créa- et (Open)SSH.Onétudieralestechniquesoutilsdesurveillance(métrologieavec sécuriser lamessagerie(milter-greylist,ClamAV…),chiffreravecSSL(stunnel…) attaques. Onverranotammentcommentfiltrerdesflux(netfilter/IPtables…), d’entreprise etàleprotégercontrelesintrusions,dénisdeserviceautres leur efficacité,onapprendradanscecahieràaméliorerl’architectured’unréseau Grâce àdesprincipessimplesetlamiseenœuvred’outilslibresréputéspour ? Comment protégerlessystèmesetdonnées ? Quelles règlesd’orappliquerpourpréserverlasûretéd’unréseauLinux (port physiqueouadresseMAC) de données états mise àjour /etc/gshadow mail logie syslog rms :traces promise fing etSYNflooding Surveillance etaudit • • • • • • NMAP • Authentification parcertificat 3 Installation deBIND Compromission etmiseenévidencedesvulnérabilités oiius«tu uetsu t«tu em af» toutfermésauf »et« toutouvertsauf Politiques « Cloisonner zonesetflux Configuration sécuriséedelapileTCP/IP • • • • IMAP Droits suidetsgid.sudo • e DNS APT, RedHatNetwork • Audit réseauavecNessus • • • Gestion descomptes Traces effacées • • Sauvegarde Relais X11 • Messagerie Serveur webetsécurité édition Pare-feu IPtables • • syslog • Authentification etconnexionSSL Spam etrelaisouvert • • • td ecs:unréseauàsécuriser Étude decas • • • • • Analyse dudisquepiraté • L’alternative VPN yooi e iqe :motivationsdespiratesetfaillessystèmes Typologie desrisques Tripwire Proxy etNAT Topologie monooudoublepare-feu • Partage defichiers • Proxy ARP Porte dérobée(backdoor) • Filtrage enentréedesite • iiaindssrie :processus,portsréseau Limitation desservices • • Options demontage Extension noyau PAM • • • Détection d’intrusionavecSnort Métrologie réseauavecMRTG Infrastructure àgestiondeclés(PKI) • • Sécuriser lesaccèsavecstunnel • • Sécurité Wi-Fi802.1x Cahiers • efle/Pals:tablesetchaînes,écrituredesrègles, Netfilter/IPtables Name ServiceSwitch(NSS) • • Source routing • Les fichiers/etc/group,/etc/passwd, /etc/shadow, • niiu tatsa :sendmail,milter,milter-greylist Antivirus etantispam Sécuriser lessystèmes • Mise enœuvredeNIS,LDAPetKERBEROS Impression • • • Toolkit Coroner • FTP etlesfiltres • éuie e evcsrsa :DNS,webet Sécuriser lesservicesréseau de OpenSSH • Filtrage réseauavecTCPWrapper • • Kiddies, warezetrebonds Détection àpartirdeslogs Filtrage sansétat(drapeauxTCP)etavec • • Protection contrelesattaquesIPspoo- rvnin:scans,refontedelatopo- Prévention • • • • DMZ Accès frauduleuxetrisqued’écoute l’Admin Web etservicesassociés Authentification parmotdepasse • • • • Rootkit (t0rn) Configuration SNMPdupare- • • • Pot demiel Topologie, segmentationet Limites desVLAN • Installation automatiséeet NIS Configurer unclientpour • OpenSSL etlesIGC • LDAP, Kerberos • • Permissions sur • • • Machine com- Sniffer (mode Indicateurs Chiffrement • • cron et • . VLAN Base • • • • Bernard Boutherin Ingénieur deformation, et formateurindépendant. organismes commeconsultant ment pourlecomptededivers informatique. Ilintervientégale- seau enchargedelasécurité administrateur systèmeetré- Physique desParticules).Ilyest de PhysiqueNucléaireet cul del’IN2P3(InstitutNational actuellement auCentredeCal- Benoit Delaunay De formationuniversitaire, trois milleutilisateurs). ratoires derecherche,près la directiondel’IN2P3(18labo- sécurité informatiqueauprèsde et estchargédemissionpourla formatique duLPSCàGrenoble est actuellementresponsablein- trois laboratoiresduCNRS.Il réseau successivementdans été administrateursystèmeet

Code éditeur : G11960 ISBN 2-212-11960-7 ISBN13 978-2-212-11960-2 29 travaille €

9 782212 119602 a

B. Boutherin SécuriserLinux3e éd. B. Delaunay Collection dirigéepar Bernard Bernard Benoit Boutherin Delaunay Nat Cahiers Makarévitch de l’Admin PDT_SecuriserLinux3e 17/10/06 9:53 Page 1

Cahiers de l’Admin Linux Sécuriser un réseau 3e édition PDT_SecuriserLinux3e 17/10/06 9:53 Page 2

Chez le même éditeur

Admin’sys. Gérer son temps. – T. LIMONCELLI, adapté par S. BLONDEEL – N°11957, 2006, 274 pages. Sécurité informatique. Principes pour l’administrateur système – L. BLOCH, C. WOLFHUGEL - N°12021, 2007, 350 pages. Mémento UNIX/Linux – I. HURBAIN, avec la contribution d’E. DREYFUS - N°11954, 2006, 14 pages. Debian. Administration et configuration avancées – M. KRAFFT, adapté par R. HERTZOG et R. MAS, dir. N. MAKAREVITCH – N°11904, 2006, 674 pages. SSL VPN. – J. STEINBERG, T. SPEED, adapté par B. SONNTAG. – N°11933, 2006, 220 pages. Programmation Python. T. ZIADE. – N°11677, 2006, 530 pages. Collection « Cahiers de l’Admin » Debian 2e édition BSD 2e édition R. Hertzog, C. Le Bars, R. Mas. E. DREYFUS - N°11463, 2004, 302 pages. N°11639, 2005, 310 pages. Collection « Connectez-moi ! » Partage et publication… Quel mode d’emploi pour ces nouveaux usages de l’Internet ? Wikipédia. Comprendre et participer. Les podcasts. Écouter, s’abonner et créer. S. BLONDEEL. – N°11941, 2006, 168 p. F. DUMESNIL. – N°11724, 2006, 168 p.

Peer-to-peer. Comprendre et utiliser. Créer son blog en 5 minutes. F. LE FESSANT. – N°11731, 2006, 168 p. C. BECHET. – N°11730, 2006, 132 p. Collection « Accès Libre » Pour que l’informatique soit un outil, pas un ennemi ! La 3D libre avec Blender. Réussir un site web d’association O. SARAJA. – N°11959, 2006, 370 pages. avec des outils libres ! avec CD-Rom et cahier couleur. A.-L. QUATRAVAUX et D. QUATRAVAUX. N°12000, 2006, 348 p., à paraître. Débuter sous Linux avec Mandriva. S. BLONDEEL, D. CARTRON, J. RISI. Réussir un projet de site Web, 4e édition. N°11689, 2006, 530 p. avec CD-Rom. N. CHU. N°11974, 2006, 230 pages. Ubuntu efficace. L. DRICOT et al. Home cinéma et musique sur un PC N°12003, 2e édition 2007, 360 p. avec CD-Rom. Linux. V. FABRE. Gimp 2 efficace. N°11402, 2004, 200 p. C. GEMY. N°11666, 2005, 360 p. avec CD-Rom.

OpenOffice.org 2 efficace. S. GAUTIER, C. HARDY, F. LABBE, M. PINQUIER. N°11638, 2006, 420 p. avec CD-Rom. Collection « Poches Accès Libre » Mozilla Thunderbird. Gimp 2.2. Le mail sûr et sans spam. Débuter en retouche photo et graphisme libre. D. GARANCE, A.-L. et D. QUATRAVAUX. D. ROBERT. N°11609, 2005, 320 p., avec CD-Rom. N°11670, 2006, 296 p.

Firefox. Un navigateur web sûr et rapide. OpenOffice.org 2 Calc. T. TRUBACZ, préface de T. NITOT. S. GAUTIER, avec la contribution de J.-M. THOMAS. N°11604, 2005, 250 p. N°11667, 2006, 220 p.

SPIP 1.8. OpenOffice.org 2 Writer. M.-M. MAUDET, A.-L. et D. QUATRAVAUX. S. GAUTIER, avec la contribution de G. VEYSSIERE. N°11605, 2005, 376 p. N°11668, 2005, 248 p. PDT_SecuriserLinux3e 17/10/06 9:53 Page 3

Bernard Boutherin Benoit Delaunay

Cahiers de l’Admin Linux Sécuriser un réseau 3e édition

Collection dirigée par Nat Makarévitch ÉDITIONS EYROLLES 61, bd Saint-Germain 75240 Paris Cedex 05 www.editions-eyrolles.com

Le code de la propriété intellectuelle du 1er juillet 1992 interdit en effet expressément la photocopie à usage collectif sans autorisation des ayants droit. Or, cette pratique s’est généralisée notamment dans les établissements d’enseignement, provoquant une baisse brutale des achats de livres, au point que la possibilité même pour les auteurs de créer des œuvres nouvelles et de les faire éditer correctement est aujourd’hui menacée. En application de la loi du 11 mars 1957, il est interdit de reproduire intégralement ou partiellement le présent ouvrage, sur quelque support que ce soit, sans autorisation de l’éditeur ou du Centre Français d’Exploitation du Droit de Copie, 20, rue des Grands-Augustins, 75006 Paris. © Groupe Eyrolles, 2003, 2004, 2007, ISBN : 2-212-11960-7, ISBN 13 : 978-2-212-11960-2 Dépôt légal : novembre 2006 N° d’éditeur : 7538 Imprimé en France Avant-propos

Aujourd’hui, tout système d’information (ou presque) est connecté à Internet, ne serait-ce qu’indirectement, et de plus en plus souvent via un accès haut débit. En entreprise comme chez le particulier, il abrite des données vitales et confidentielles. Il fait ainsi partie intégrante du système de production et sa compromission peut avoir des conséquences dramatiques (arrêt des traitements, paralysie des communications, perte voire détournement des informations…). Comment se prémunir des destructions, espionnages, dénis de service et autres intrusions, possibles usurpations d’identité, tentatives visant à rendre le système non opérationnel ? Dans ce contexte, le système Linux peut jouer un rôle majeur pour la sécurité des réseaux et des systèmes connectés. La sûreté de son noyau, les nombreux outils réputés pour leur fiabilité, et pour la plupart directement intégrés dans ses distributions, conduisent de plus en plus d’entreprises à choisir Linux comme système d’exploitation pour les serveurs applicatifs.

À qui s’adresse ce livre ? Cet ouvrage s’adresse aux administrateurs système et réseau qui veulent avoir une vision d’ensemble des problèmes de sécurité informatique et des solutions existantes, dans l’environnement Linux. Il offre une marche à suivre aux adeptes de Linux ayant la charge d’un petit réseau informatique connecté à Internet, au sein d’une PME ou chez un particulier.

© Groupe Eyrolles, 2005 Les Cahiers de l’Admin – Sécuriser un réseau Linux deuxième fil conducteur pour la lecture. points dedétail, pourront constituer un situéesLes notes enmarge, enéclairant certains VI de mise enœuvrede du Attaques etcomp 3,« chapitre Dans le Bendonneunexempleconcret demiseenœuvre. l’annexe decessy ment etlescaractéristiques »,décrit utilisateur etauthentification cole LDAP Kerberos. ouau système tionnels comme la base NIS, jusqu’aux plus évolués qui font appelau proto- d’authentificati lessystèmes cette partie auxproblèmesliés crés à l’authentifica unnouveau vrirez en chap particulier Cette troisième éditionaétéenrichie Nouveautés delatroisième édition protéger grâceàLinuxtirera profitlecture. decette tant enapprendre desréseauxetlafaçon des’en davantagesurlespirates toutepersonne largement, ayant Plus qui illustrentnombreux qui pratiques notre exemples propos. L’étude Tamalo.com, met en scènel’entreprise de cas sontissusles d’où quotidienne… surveillance et sationSSL parchiffrement avec l’amélioration de l’architecture du rése nouseffectuerons d’entreprise, réseau mettantenscèneun générique uneétudedecas mière édition.Àtravers Linux, reprend ladémarcheque nousavionseuelorsdelapre- méthodique àla sé consacré du Cahierdel’Admin del’architec excellente vued’ensemble demandentune réseaud’entreprise etlaprotection d’un sécurisation La Structure del’ouvrage sécurisation d’un ensemble de services avec de services ensemble d’un sécurisation ou électroniques, méthodes delu courriers :mo prend quelques ajoutsd’importance », com- réseaux DNS, desservices Web Sécurisation etmail 6,« chapitre Le machinecompromise. forensique d’une l’analyse d’un pare-feu transparent. pare-feu d’un configuration la de et desprincipes description la par estenrichi chapitre utilisant captif écran place d’un en Topologie, segmentati 8,« au chapitre de demarquage Enfin, lespossibilités spam , avec la mise en œuvre des listes grises ( , aveclamiseenœuvrelistes grises des Coroner toolkit cette technique est présenté. Cecette techniqueestprésenté. même estprésentédanslebutdecompléter (Open)SSH, détection des intrusions, (Open)SSH, détectiondes ecair 0 Gestioncomptes des 10,« chapitre Le par de nombreuxVouspar deajouts. ydécou- itre et uneannexe entièrement consa- curisation de et systèmes réseaux sous au : filtrage des :filtrage flux en entrée, sécuri- au stèmes d’authentification, tandis que stèmes d’authentification, tion des utilisateurs. Sont tion des traités dansutilisateurs. Sont on et DMZ », et un exempledemise et », on etDMZ les grands principes defonctionne- lesgrands principes des bases en informatique etsouhai- des baseseninformatique paquets d’IPtables sont développées paquetsd’IPtables oiso emcie »,unexemple romission demachines ture étudiée.Cette troisième édition tte contre nonsollicités, les courriers un audit de sécurité pour aboutir à pour un audit desécurité on centralisés,depuis lesplustradi- yens de détection dans des les virus stunnel greylists . © Groupe Eyrolles, 2005 en anglais), et la et en anglais), © Groupe Eyrolles, 2005 Eyrolles, © Groupe misenplace. alors sera l’entreprise de desécurité société. Undispositifdeprotection objectifs adaptéaux de ladécisionest dela prise remodeler lastructure informatique laquelle Toutaprès machineconnectéeauréseau, d’une commence avecl’attaque • À partir du À partir • Pour deTamalo.com, oùunemachine prévoirles cas restée vulnérable, • •Les •Les • Grâce à l’utilisation de pare-feu de pare-feu reposa Grâce à l’utilisation • àl’extérieur, réseauquisubsistent,nécessairement ouverts services Les • qui protégent en particulier contreprotégent le qui enparticulier Une section introduit le conceptde entre dechiffrement. lesmachines aux techniques sont grâce sécurisées est découvert. d’empreintes, détection d’empreintes, d’ :métrologie, prise etdesurveillance système d’audit d’outils attaquée,serait voire compromise, on rendre cettetechnologieplussûre. qu’encourent existantespour usagersetlessolutions desécurité leurs réseausans fil d’un la réalisation utiliséepour delatechnologieWi-Fi uneréflexionsécurité surla inclut à l’extérieur. sur laprotection Cettediscussion réseau DMZ, ouverte réseau deTamalo.comdu démilitarisée, zone une apparaître alors fait met en évidence l’exploitation delafaille ( met enévidencel’exploitation L’analyse compromises dé desmachines duréseau. aupiratage aboutit de sécurité, impératifs encomptematique, des maisundéploiementtroprapide, sansprise jeune sociétéTamalo.comLa a infor- misé sur Linuxpour son système ces problèmes. à efficace parade de servir Celui-ci,bien configuré,pourra tème d’exploitation. de Linuxcomme sys- blèmes quide sécurité endécoulent,etl’émergence ce piratage.Onledévelopp ydécrit réseau. les systèmes. Le les systèmes. Le contre( les attaquesextérieures on déploieuneprotection réseau possible. sont êtrevulnérables configurés pour lemoins alors opter pouruneconfiguration mini automatiquesdes pour installations préférer : simples s’appuie surdeuxprincipes Celle-ci X11). d’affichage duserveur est notammentconsacréevices (unesection àlasécurité chapitres 5et6 chapitres chapitres 1 à 3 chapitre 4 rootkit présentent le contexte de l’étude de cas qui a de favorisé cas présententlecontextedel’étude abordent la mise en sécurité des systèmes etdesser- systèmes des sécurité abordent lamise en , la réplique se met en place. Les communications Les met enplace. se , laréplique utilisé pourmasquer leurprésence par lespirates intrusions. Des techniques de leurre, Des intrusions. lespots chapitres 7 et 8 male, sans services inutiles. inutiles. male, sans services ; elleprésentenotammentlesrisques ement formidable d’Internet, lespro- d’Internet, ement formidable qui lepremier constituera rempart réseau privé virtuel. Cestechniques virtuel. privé réseau garantir l’homogénéité duparc, et l’homogénéité garantir se dote de l’indispensable panoplie se dote del’indispensable nt sur lecouple IPtables/Netfilter, voile le scénario de l’intrusion et de voile lescénario l’intrusion sniff exploit , ou écoute frauduleuse du , ouécoutefrauduleuse ). Lanouvelletopologie ) utiliséepour pénétrer hpte8 oooi,sgetto tDZ» Topologie, segmentation etDMZ Chapitre 8, « » Filtrage en entrée desite Chapitre 7, « » DNS, Web et mail : Sécurisation desservicesréseau Chapitre 6,« » Sécurisationdessystèmes Chapitre 5, « Chiffrement descommunications 4, « Chapitre Attaques et compromissions des Chapitre 3, « un réseauà : L’étude decas 2, « Chapitre » La sécurité et le systèmeLinux Chapitre 1, « vcSHe S » avec SSH et SSL ahns» machines » sécuriser VII

Avant-propos Les Cahiers de l’Admin – Sécuriser un réseau Linux tatetfcto » et authentification Gestion descomptes utilisateur Chapitre 10,« » Surveillanceaudit et 9, « Chapitre VIII apporter sa pertinente contribution. pertinente sa apporter ainsiqu’àrédaction, Natqu Makarévitch quinous des éditionsa souten Eyrolles, jour, voiele ouvrage et enparticulie Nous remerciements adressons nosvifs à tous ceuxqui ont quecet permis Remerciements •Enfin, l’ •L’ Tous au cesoutils,décrits • •Enfin, le hpte10. chapitre d’identification etd’ d’identification etfct X.509. certificats 4concernantles duchapitre compléter partie la vient en anglais) base NIS,LDAPle protocole Kerberos. système etle et d’identification centralisés tèmes duction. depro- compromission, desserveurs d’une détourner lors etdeles pirates des lecomportement etd’analyser de miel,permettront d’observer l’entreprise. de dirigeantes instances aux engénéral destinés réseau informatique, des tablea réalisation la à pour servir données qu’ils attaque. Les d’une lors neeA annexe neeB annexe hpte10 chapitre concernant les infrastructures à gestion de clés (IGC àgestion ouPKI lesinfrastructures de clés concernant metenœuvre lestrois grandscentralisés systèmes onnent trois foncti comment grands sys- expliquera authentification des ut hpte9 chapitre r à notre éditrice Muriel Shan Sei Fan Sei Shan r ànotreMuriel éditrice d’authentification d’authentification ux de baromètres bord,ux véritables du produiront serontanalysées ensuite us tout au long denotre de travail , permettent de réagir au plus vite i a bien voulu relirei abienvoulu y livreet ce ilisateurs présentés au © Groupe Eyrolles, 2005 des utilisateurs : la : des utilisateurs Table des matières

1. LA SÉCURITÉ ET LE SYSTÈME LINUX ...... 1 L’exploitation de la faille (« exploit ») 26 Enjeux et objectifs de sécurité 2 Utilité des scans réseau 26 La menace 2 La compromission 27 Principaux facteurs de motivation des pirates 3 Analyse de la machine compromise 28 Risques liés au type de connexion 3 Traces visibles sur le système avant réinitialisation 28 Risques liés aux failles des systèmes 4 Sauvegarde du système compromis 29 Émergence des systèmes Linux 4 Analyse fine de l’image du disque piraté 29 Linux et la sécurité 5 Montage pour l’analyse 29 Des distributions Linux sécurisées 5 Étude des fichiers de démarrage et configuration 30 En résumé... 6 Étude des fichiers créés lors du piratage 30 Analyse avec The Coroner toolkit 30 2. L’ÉTUDE DE CAS : UN RÉSEAU À SÉCURISER ...... 9 Trousse à outils du pirate : le rootkit t0rn 33 Une jeune entreprise 10 Sniffer réseau d’un rootkit 33 Les besoins de la société en termes de services 10 Le mode promiscuous 35 Les choix techniques initiaux de Tamalo.com 11 Rootkit : effacer les traces et masquer la présence du Web et services associés 12 pirate 37 Transfert de fichiers 12 Rootkit : la porte dérobée (backdoor) 38 Base de données 12 Rootkit t0rn : conclusion 38 Résolution de noms 12 Détecter la compromission à partir des logs 39 Messagerie électronique 13 Origine de l’attaque 40 Partage de fichiers 13 En résumé… 42 Impression réseau 13 L’infrastructure informatique vieillissante et vulnérable 13 4. CHIFFREMENT DES COMMUNICATIONS AVEC SSH ET SSL 45 La compromission du site 14 Les quatre objectifs du chiffrement 46 Mise en évidence des vulnérabilités 15 Authentification 46 La refonte du système informatique 15 Intégrité 46 Le projet d’une nouvelle infrastructure réseau 16 Confidentialité 47 Études des flux réseau 18 Signature électronique 47 Vers des outils de communication sécurisés 18 Facteurs de fiabilité des techniques de chiffrement 47 Un suivi et une gestion quotidienne du système d’information 20 Algorithmes de chiffrement symétrique et asymétrique 48 En résumé... 20 Chiffrement symétrique 48 Chiffrement asymétrique 49 3. ATTAQUES ET COMPROMISSIONS DES MACHINES ...... 23 Le protocole SSL (Secure Socket Layer) 51 Kiddies, warez et rebonds 24 Qu’est ce que SSL ? 51 Scénario de l’attaque du réseau de Tamalo.com 26 SSL, comment ça marche ? 51 Une faille dans le système 26 Les certificats X.509 52

© Groupe Eyrolles, 2003 IX Les Cahiers de l’Admin – Sécuriser un réseau Linux 5. S 5. nrsm…67 En résumé… 66 VPN L’alternative 65 Dépannage 54 SSH (Secure Shell) Le protocole Mise à jour réguli àjour Mise 70 Installation automatisée ofgrto éuié el ieTPI 85 sécurisée dela TCP/IP pile Configuration 84 Configurationdes services systèmecron etsyslog 82 Gestion des accès et stratégie locale desécurité 79 de fichiers système du Sécurisation 75 Mise enconfiguration minimale, limitation desservicesactifs 74 L’indispensable protection par motde passe audémarrage X ÉCURISATION eto e cè usrieSH65 Gestion desaccèsservice SSH au 64 Relais d’affichage X11 60 SSH avec Authentification 59 Utilisation deSSH 59 Désactivation etarrêtduserveurSSH 58 Activation etlancement duserveurSSH 58 Fichiers de configurationd’OpenSSH 57 Installation d’OpenSSH 56 Caractéristiques d’OpenSSH 54 ? SSH répond besoins À quels 54 ? Qu’est-ce queSSH 54 Utilisation deSSLparlesapplicationsclient/serveur 53 Authentification etétablissement delaconnexion SSL goe etismsae CP85 Ignorer certains messages ICMP 84 syslog 84 cron 83 avecFiltrage réseau TCPWrapper 83 Blocage descomptes inutiles 82 Compte privilégié root 82 Options demontagedes systèmes defichiers 79 fichiers Permissions des 78 Désactivation des servicesinutiles 77 Identification desservicesactifs 76 Identification desportsréseau utilisés 76 Identification desprocessus 74 à jourMise avecRed HatNetwork 74 à jourMise etinstallation optimale avecAPT uhniiainàcépbiu 61 Authentification àclépublique 61 Authentificationpasse parmotde 60 Configuration duservice SSH 60 Options des commandes SSH 60 Transfert interactif defichiers 60 ouderépertoires Copie distantedefichiers 59 Exécution decommandes àdistance 59 Connexion interactive lentv apoeto ud:sd 81 sudo : Alternative àlaprotectionsuid 80 Droits suidetsgid Détection des fichiersdotés

DES r e ytms73 ère dessystèmes

SYSTÈMES

...... 69 ...... edot rpprisf 80 de droitstroppermissifs 6. S nrsm…135 En résumé… 127 Sécurisation des accès nomadesla à messagerie avec stunnel 125 Serveur Web 104 Messagerie électronique nrsm…90 En résumé… evc erslto enm N 95 DNS de noms Service derésolution 94 réseau desservices de lasécurisation Bases ÉCURISATION ’uhniiainprcriia 134 l’authentification parcertificat Configuration d’unclientnoma 132 l’authentification parcertificat Configuration d’unclient 127 l’extérieur Configuration duserveur st 125 Serveur Web et sécurité 107 L’architecture dusystème demessagerie 106 Spam etrelaisouvert 106 Messagerie électroniqueet sécurité 105 decourrier logicielsdetransfert Les 104 ? Comment çamarche 104 Configuration desclients DNS evu ’fihg 1 tpse etaal89 Serveur d’affichage X11etpostes detravail 89 Extension dunoyau 89 Configuration enpare-feu avecIPtables 88 flooding et SYN spoofing ProtectionIP contrelesattaques 88 ! Surveillance desmartiens 87 Interdiction dusourcerouting ofgrto e evusDS98 Configuration desserveurs DNS 97 BIND Installation dulogiciel 97 Serveurs denoms etsécurité 96 ? Comment çamarche ofgrto esunlsrl evu 129 Configuration destunnel surleserveur 128 Authentification desutilisateurs 127 Authentification duserveur 126 Configuration etactivation deHTTPD 125 Installation deHTTPD 124 Configuration etactivation duserveurIMAPS 124 Installation d’IMAP 121 :Sendmail,milteret milter-greylist. Lutte antispam 117 :Sendmail,MilteretClamAV Lutte antivirus 116 antispam àTamalo.com Configuration antiviruset 115 Sendmail etMilter 110 Configuration desendmail 109 Activation desendmail 109 Installation desendmail hneetd arcn ussèed ihesae hot»98 » chroot « avec fichiers de 103 système Activation et lancement duserveur du racine la de Changement 98 Compte non privilégié 87 Ignore BogusResponse ICMP 87 ICMP Echo request 85 ICMP Redirect

DES

SERVICES nomade supportant SSL et nomade

RÉSEAU unnel accessible depuis de ne supportant pas SSL ou ne supportantpas de : DNS,W © Groupe Eyrolles,2003 © EB

MAIL

93 © GroupeEyrolles, 2003 T 8. F 7. efle/Pals171 Netfilter/IPtables 163 NAT et Proxy 158 Tamalo.com de réseau configuration de la Détails 156 Topologie du réseau 155 Tamalo.com fluxà des Définition 155 Définition des zones duréseau de Tamalo.com 154 ? cloisonner Pourquoi 151 En résumé… 146 Déploiement de serviceFTP avec (et malgré) lesfiltres 145 » sauf fermé tout au « » sauf ouvert tout « :du filtrage de Politique 144 » sauf ouvert tout « compromission, la :avant filtrage de Politique 139 Filtrage sansétat 138 Principes de basedu filtrage en entréede site 138 But poursuivi ILTRAGE OPOLOGIE ocinaié ’Pals171 Fonctionnalités d’IPtables 171 Proxy versusNAT 165 d’adressesNAT Traduction 163 Proxy 162 Configuration VLANretenue pour Tamalo.com 160 et leurs LesVLAN ? limites Comment segmenter 160 Postes detravail 160 Services internes 158 DMZ 157 Tamalo.com Topologie àdouble pare-feuadoptée pour leréseau de 156 Topologie àunseulpare-feu 155 :DMZ Serveurs accessiblesdepuisl’extérieur et l’intérieur 155 Serveurs applicatifsinternes 155 Postes detravail 150 ge deports Filtrage duserveurFTP passif, 150 Filtrage d’unclient FTPpassif 150 actif FTP de Filtrage d’unserveur 147 Filtrage d’unclient FTPactif 143 Filtrage avec états 142 dufiltragesansétat limites Les 140 Drapeaux TCP etfiltrage enentrée 139 Protocole, portssourcedestination et 139 sourceetdestination IP Adresses alse hîe 171 Tables et chaînes 168 NAT dynamique –ou -N pour M Source NAT 166 – ouNATstatique –un pourun Source NAT 161 VLAN paradresseMAC 160 physique VLAN parport

EN ,

SEGMENTATION ENTRÉE

l’extérieur et à l’intérieurdu réseau de DE

SITE

ET ...... 137 ...... stiné àfonctionner en mode DMZ limitation duserveuràune pla- ...... 153 ...... 9. S nrsm…186 En résumé… 183 Sécurité duréseau sans fil nrsm…206 En résumé… 201 : Snort Détection d’intrusion 197 avec Nessus Audit réseau 197 NMAP 193 MRTG avec réseau Métrologie Empreinte desmach 190 syslog le et Linux 190 partout traces Des URVEILLANCE iqedéot ursa 185 Risque d’écouteduréseau 183 Risque d’accèsfrauduleuxauréseau Configuration pratiquedu 181 Proxy ARP 180 Adressage IP 180 Positionnement dupare-feutransparent 180 Pare-feu transparent, mode bridge 178 paquetsMarquage de avecIPtables 178 serveurConfiguration IPtablesdu SMTP Configuration IPtablesde 175 Configuration IPtables desdeux pare-feuLinux ala ebr el éuié204 Tableau debordlasécurité 203 Le potdemiel Configuration etvalidationde 201 Mise enplacedelasonde Snort 200 Rapport d’audit 198 Configuration deNessus 195 Tamalo.com Installation etconfig epoooe821 184 Le protocole802.1X 183 Configuration IPtables 182 routes Configuration desinterfaces 182 ARP cotéinterne Configuration enproxy 182 ARP cotéDMZ Configuration enproxy 179 Marquage simpledupaquet 178 TOS, TTL Modification deschamps 174 Filtrage 174 –NAT d’adresses Traduction 173 Journalisation 173 Suivi deconnexion 173 Écriture desrègles Synthèses des indicateurs da desindicateurs Synthèses 204 Les indicateursdesécurité 196 d’analyse Installation etconfiguration deMRTGsurlamachine 195 quêtes MRTG Configuration SNMP dufirewa

AUDIT ns:Tiwr 192 Tripwire : ines uration deMRTGchez

...... 189 ...... cau ot etaal177 chaquepostedetravail aefutasaet182 pare-feu transparent Sot éeto e cn 201 détectiondesscans Snort, su ala ebr 206 bord de tableau un ns etmise en placedes lApouraccepterlesre- ll XI

Table des matières Les Cahiers de l’Admin – Sécuriser un réseau Linux A. I 10. XII ncnlso 239 En conclusion 237 électroniques Utilisation des certificatspour signer et/ou chiffrercourriers les 233 WebsécuriséHTTPS en œuvred’un serveur Mise 231 Demande decertificats utilisateur 228 X.509 descertificats Création 228 OpenSSL etlesIGC DE 226 En résumé… 225 Interopérabilité 223 Kerberos 221 LDAP - Protocol Access Directory Lightweight 217 - NIS Service Network Information 212 Linux etl’authentification 210 Gestion centralisée des comptes utilisateur NFRASTRUCTURE G

Installation d’un certificat 234 decertification surleclient lachaînedeInstallation 233 Création ducertificat duserveurwww.tamalo.com 232 format PKCS12 Création d’unfichier contenant la clé privée et le certificat au Signature des certificatsparl’ Certificat X.509auto-signé del’ 228 Bi-clés RSA 225 Kerberos dusystème Limites 224 » Single Sign On Authentification uniqueou « 224 Kerberos etlasécurité 223 Fonctionnement 222 Limitation dusystème LDAP 222 Répartition de chargeetdisponibilité 222 LDAP et lasécurité 221 Fonctionnement 220 NIS dusystème Limites 220 Rejoindre un domaine NIS et trouver son serveur 219 Répartition de chargeetdisponibilité 219 Affichage desinformations contenues danslesmapsNIS 218 Fonctionnement 217 Linux et Name Service Switch 216 Linux et PAM 215 dePrincipe l’authentification parmotdepasse 215 Gestion descomptes utilisateur 214 Format dumot depassechiffré 214 Le fichier /etc/gshadow 213 Le fichier /etc/shadow 212 Le fichier /etc/passwd 212 Le fichier /etc/group 210 Authentification etidentification CERTIFICATION ESTION essèedatetfcto 211 Le systèmed’authentification 211 ? Pourquoi authentifier

DES

COMPTES

À DE

GESTION T AMALO

UTILISATEUR

DE esne asl aiaer236 personnel danslenavigateur . COM

uoiéd etfcto 231 autorité decertification CLÉS uoiéd etfcto 229 autoritécertification de

...... 227 ...... ET : CRÉATION

AUTHENTIFICATION

L ’ AUTORITÉ

209

B. A LDAP éiiindsuiiaer 260 Définition desutilisateurs iee ur eKreo 255 Mise en œuvre deKerberos 248 Mise en œuvre deOpenLDAP 241 Mise en œuvre deNIS I NDEX UTHENTIFICATION raindscmtsKreo 260 Création descomptes Kerberos 259 Configuration del’authentification Kerberos 259 Lancement des instances Kerberos sur le serveur KDC 258 Création dufichier /var/kerberos/krb5kdc/kadm5.keytab 258 Ajout d’uncompte administrateur Kerberos 258 5 Création delabasedonnéesKerberos ofgrto usrerKreo 256 5 Configuration duserveur Kerberos 255 5 Installation d’unserveurKerberos 253 Affichage d’un enregistrement 253 Création d’un compte utilisateur 252 Création d’un groupe 251 Création duschéma delabasedonnées 251 Configuration descommandes client 251 Lancement duserveurOpenLDAP 249 Configuration duserveur OpenLDAP desmes Redirection 247 Création decomptes utilisateur 245 Configuration d’unclientNIS 242 Configuration duserveur maître NIS 241 NIS Installation dusystème Le fichier/var/kerbero 257 /var/kerberos/krb5kdc/kdc.conf Le fichier 256 Le fichier/etc/krb5.conf 256 5 Kerberos paquetages Installation des 254 l’authentification Configuration del’identification etde 251 ? Quelles sont les restrictions d’accès 250 ? Commentpassele motété dedurootdn généré a-t-il 249 OpenLDAP paquetages Installation des 248 Introduction 248 Consultation des mapsNIS 247 Création d’ungroupe etd’uncompte utilisateur 247 Modification dufichier/var/yp/Makefile 246 l’authentification Configuration del’identification etde 246 Lancementdu clientNIS 245 Le fichierdeconfiguration /etc/yp.conf 244 du serveurNIS Lancement Configuration duno 243 Le fichier/var/yp/securenets 242 /etc/ypserv.conf Le fichier 242 NIS paquetages Installation des ...... 261 ...... ET K ERBEROS ,

MISE ...... 241 ...... ae elg 249 sages delogs

edmieNS244 m dedomaineNIS EN /r5d/am.c 258 s/krb5kdc/kadm5.acl

ŒUVRE

DE © Groupe Eyrolles,2003 © NIS,

chapitre 1

SOMMAIRE B Pourquoi la sécurité Le déploiement fulgurant de l’Internet et son omniprésence en informatique ? B tant que moyen de communication auraient dû entraîner la Évolution de l’Internet vers le haut débit prise en compte des risques associés à la visibilité des machines B Émergence de Linux sur ce réseau de réseaux. Il n’en a pas été ainsi : de plus en plus de moyens informatiques se trouvent exposés à la malveillance MOTS-CLÉS des pirates. B Internet B DARPA B Haut débit B Linux B Linus Torvalds B Distributions B Enjeux B Objectifs de sécurité B Menaces B Failles et défaillances B Vulnérabilités B Distributions Linux sécurisées

© Groupe Eyrolles, 2005 Les Cahiers de l’Admin – Sécuriser un réseau Linux scan le début del’année 2003.Ils vont du simple répertoriéssécuritédepuisété parsemaineont incidents de 500 à l’Internet. En moyenne, 2 machines.de des milliers est connecté Ceréseau tion et dela recherche, auquelsontconnectées informatique sur leréseau national del’éduca- recenserde sécurité etdesuivrelesincidents Le CERT Renater estl’organisme chargé de ouverture sur l’extérieur. données, quellequesoit lataille du siteetson quel que soitledegré de confidentialité des La sécurité est toujours motivée par un enjeu, danslemonde. partout d’informations unique, IP (Internet Protocol), permet leroutage réseaux, dont leprotocole decommunication taires. Ilest aujourd’hui vu comme un réseau de taire américain), et quelques réseauxuniversi- recherche américaine) et Milnet (leréseau mili- dela (leréseau Arpanet pait àsesdébuts Projec Advanced Research àl’initiative du DARPA1980, (Defense L’InternetréseauÉtats-Unisen estuncrééaux ocbe éle! bien réelle donc prise decontrôlemenace desmachines.La est lement lamachine)àla compromissionà etla 2 R (grâceauquelle pirate examine superficiel- ÉFÉRENCE B L’Internet, une vieille histoire… ON

SENS

L eaeetbe éle! Lamenaceestbienréelle Il ya toujours un enjeu… H ISTORIQUE ts Agency).Ilregrou-

cher chaque mois, soit util réseau, qu’ilspayentfort l’accès que ?Supporteraient-ils compromission %dutemps pour cause sources 80 entreprise. Pour autant, accepteraient- n’étant estnulpourleur abritent de lasécurité l’enjeu pasconfidentielles, responsables sites croien de Les certains Enjeux etobjectifsdesécurité : informatique Troisrendent facteurs in à la possible malveillance des pirates. de liésàla conscienceprise desrisques les etchez que danslesentreprises aussi débit, duhaut démocratisation La inoffensifs, il en existe que l’envie de ilen existequel’envie inoffensifs, que est faciled’imaginer Il l’Internet. millions de machines 250 Quelque La menace nécessaireentre convivialitéetsécurité. pour del’entreprise, sontles objectifs ilestindispensable D’autrede ra part, mesure contraignante. mise enplaced’une placée pourarbitrer, parexemple, entr Enoutre,à quelprix. sicela s’avère aussiellequiestlemieux nécessaire, c’est mesuresque les mises d’incidents type raisons.La direction dusite quiconqueest le capablemieuxquededéfinir impliqués dansladéfinitiondesenjeux soient directement que les responsables est important del’entreprise Il fonctionnementen mise quijustifiela Ainsi, quel que soitle site considéré, ilexiste toujoursune exigenceminimale de ? renommé site tel ou tel compromissionde la dans Accepteraient-ils ? q autorise lerelais né correspondantsavoir leurs pour par nible pour leurs propres sati besoins ?Se • les failles des les systèmes. • ; menaceextérieure, mêmepotentielle d’une l’existence • ; de l’entreprise dupatrimoine préservation la • isé à 99 % pour %pour unsite isé à 99 dispensable le déploiement delasécurité place de adaptées. mesures de sécurité nuire ou de jouer amènera à s’attaquer à s’attaquer à amènera nuirejouer oude ue leurs machinessoientmisesencause ue leurs même si la plupart desinternautessont même silaplupart particuliers, doit s’accompagner d’une ppeler clairement aux utilisateurs quels aux ppeler clairement aboutir aboutir àun consensus sur l’arbitrage visibilité des machines sur Internet et visibilité desmachines surInternet de la sécurité informatique delasécurité pourdeux en place doivent permettre d’éviter et permettre d’éviter place doivent en t parfois à tort lesdonnées que, qu’ils àtort t parfois ils une indisponibilité de leursres- uneindisponibilité ils e lebesoinenfonctionnalitésetla bien danslesécoles et les universités gligé un serveur de messagerie qui de messagerie gligé unserveur sferaient-ils d’être misenlistenoire d’être sferaient-ils sont aujourd’hui connectéessur sont aujourd’hui de réinstallation suitede à réinstallation une warez © Groupe Eyrolles, 2005 et se trouveindispo- etse © Groupe Eyrolles, 2005 Eyrolles, © Groupe film buer efficacement es dont l’objectif depirates, catégories àhaut débitsonttrès permanentes connexions recherchées parcertaines Les Risques liésautypedeconnexion : facteursdemotivation despiratessontlessuivants principaux Les despirates Principaux facteurs demotivation 3. auchapitre décrit sera comme cela de utilisent ils ; bien compris l’ont pirates vous. kmdechez Les 000 à12 connecté depuisunechambre d’hôtel un dontjouira le sentiment d’impunité s’ajoute statistique fatalité Àcette bienprotégées. des machines,mêmeassez la méconnaissance desconséquences • la volonté de détourneràson profitdesressources informatiques dont on ne • sontappâtés parlesrémunérations :certains qu’offrent dugain l’appât • aime pirates :certains le goût du défi • moyennant quelques dispositifsparticuliers. Numéris. Ilutilise un signal numérique surune lignetéléphonique intégr à RNIS (Réseaunumérique Service Digital Network)est plus connuenFrance sous l’abréviation mais certainementrépanduà cejour. encore très ISDN (Integrated commuté (RTC)le moyendeconnexionmoinsperformant est sieurs types de connexions au grand public. Leréseau téléphonique Les fournisseursd’accès à l’Internet T pirates aveuglémenthostiles. pirates espace decalcul, dispose pas(puissance dentielles (devis,plans, de informatique leur concurrent et/o qui so entreprises peuscrupuleuses des ; de leurs connaissances ADSL2+ ADSL2 ADSL Câble T1 Numéris 128k 64k Numéris V90 – Modem 56k Types connexion Internet de à s etlogicielspiratés. scesidsres); secrets industriels…) (FAI) proposent aujourd’huiplu- ationencoreservices) ou de Figure 1–1 ======5Mbits/s ======25 Mbits/s ======12 mbits/s Kbits/s – 8 ======128 Mbits/s ======4 Kbits/s === 1500 Kbits/s = 128 Kbits/s = 64 Kbits/s = 56 nombreuses astuces pour seprotéger, t d’utiliser cetteressourcedistri- pour d’utiliser t pirate quis’attaqueà votre pirate machine, dsu,cneinrpd ursa… ; disque, connexion au rapide réseau…) u lui dérober des informations confi- nt prouver leurhabiletéetl’étendue et des risques encourus par des encourus et des risques uhaitent saboter l’outil de travail saboterl’outil uhaitent Débits des différents types de connexions àInternet typesde différents connexions des Débits tenr nio 0 oscu osaé u eRC(iue1-1). atteindre environ 200 fois ceux constatés sur le RTC (figure observés, lesdébits laquelle pour garantis, non que bien peuvent classiques. Lesoffres ADSL pr passer des hauts débits surles lignestéléphoniquesanalogiques tric Digital SubscriberLine)est une technique permettant de faire minimalentre votreinstallation etvotreFAI. Enfin, ADSL(Asymme- ContrairementRTC, au un abonnement RNISgarantit undébit oposent une connexion permanente 3

1 – La sécurité et le système Linux Les Cahiers de l’Admin – Sécuriser un réseau Linux ment. d’exploitation duquel Linuxs’inspire très large- », lesystème Unix » et « Linus des noms « Le nomde «Linux »provient delacontraction d’utilisation dece système. quelquesexemples desnombreuses possibilités poste detravail pour l’utilisateur final,sont de développementouencore posteréseau, plir unegrandevariété de tâches. Serveur l’accompagnent luiconfère une capacité àrem- des logicielsqui grande richessedeLinuxet duit très apprécié des utilisateurs dePC. La fique, sa gratuité et sa Diffusé dans lemilieu universitaire etscienti- B ture par de nombreux développeurs. estaujourd’hui accompagné dansaven- cette 386.Initialement seul, Linus Torvalds seur Intel d’acquérir, vient qu’il proces- d’un PCéquipé un l’ordinateur pour d’exploitation système d’un sité d’Helsinki, se lance dans le développement Torvalds,l’Univer- alorsétudiant à teurLinusB. Linux voit lejour en1991 Finlande. Son créa- http://www.linux.org http://www.linux.org 4 H ISTORIQUE

iu,1 n éà! ansdéjà Linux, 15 puissance en font un pro- un enfont puissance les plus connues, mais il en existe bien d’autres encore.bien d’autres les plusconnues,maisilenexiste logiciels commerciaux. supports Debian,Mandrake, sont HatRed etSuse des ontvule et offrent,jour certaines, ment, plusieursdistributions pour Parallèle- propriétaires. jusqu’aux micro-informatique, machines grandes él del’agenda matérielles, gurations nombreux projetsportage existe de de de Des dizaines développeurs ontadapté son code source àleursbesoins. Il besoins. peuts’avéreret cetteplate-forme très solutionàbasedemi mance/coût d’une perfor- rapport commerciaux.Le d’exploitation sante faceaux systèmes Linux peutêtre considérécomme une etPM parmi lesTPE aussi bien entreprises, marquéeau seindes tendanceestparticulièrement jeux…). La d’applicat croissante l’offre de raison Linux est un système d’exploitation de d’exploitation Linux est unsystème Émergence dessystèmesLinux présente sonlotdevulnérabilités. n’existe etil lecas loin d’être c’est Mais pour l’entreprise. enjeux importants les ci-dessus nemet pasenpéril pourrait On informatique. sécurité de il configuration, ni dansleur ception, informatiques les neprésentaientaucunesystèmes faille, ni Si dans leurcon- Risques liésauxfaillesdessystèmes estl’ar fait nouveau aujourd’hui Le électronique. messagerie la via problèmes depropagationles devirus rend lacompromission improbable. Dans ressource co prendre lecontrôled’une à qu’il yaurait pirate vous trouveconnecté, d’intérêt ajoutéemanque au (RTC),modem En reste le danger limité. que vousêtesconnectésàvotre fourni Face àces pirates, qui cherchent des re prise en compte. prise sila ne sefait co pas sans heurts, démocratisation Cette (câble,ADSL). » débit haut « à permanentes nexions etda chez lesparticuliers d’Internet Eque parmiles grandscomptes. hélas pas de système d’exploitation quine hélas d’exploitation pas de système mposante sécurité n’estmposante sécurité correctement pas ectronique depoche, enpassantparla compétitive pour une grande variété compétitive de pour une variété grande ncé a nemtecsà5 Kbits/s à56 intermittences nnectée par ns lespetitesentreprises via descon- sseur d’accès Internet viaunbonvieux Internet sseur d’accès alors considérerdécrite quelamenace plusenpo du système sur toutes sortes de confi- de sortes surtoutes du système ne seraitpasnécessaire de s’inquiéter ssources afin d’abriter leurs sites,tant ssources afind’abriter alternative économiquementsatisfai- alternative rivée ou plutôt la ouplutôt rivée cro Linuxesttrèsattractif animépar ions dehautniveau (bureautique, ce cas, la sécurité concerneraplutôt lasécurité ce cas, effet, la faible probabilité que le © Groupe Eyrolles, 2005 pulaireen notamment démocratisation © Groupe Eyrolles, 2005 Eyrolles, © Groupe fautsavoir qu’ilIl exis Hat. Red distribution issu d’une Linux comment ouvrage Nouscet dans verrons Des distributions Linuxsécurisées constituer ainsi le principal dispositif de sécurité dusystème informatique. Nous verrons égalementcomment Linux satisfaisant. pour atteindreLinux unniveaudesécurité gurersystème un 6, et 5 aux chapitres verra on le Comme outils utilisés. quels quesoientles etune du système nismes dans lesmeilleuresfaite conditions soit pourquesonutilisation quotidien unsuivi nécessite il informaticiens, de Bienbe queLinux soit àlaportée loppeurs enmatière desécurité. ne reflèteàsajust pas d’exploitation Aujo comblé. partie en grande donc été a concurrents ses à rapport par Linux de retardsupposé Le actuels. ments compos et la été corrigées étaientprésen des lacunes importantes Si œuvrentintelligence. utilisateurs deLinux) enbonne tandis quela communauté de ceuxqu sinon groupes petits isolément, par travaillent pirates que les à cela Ajoutons ! ansd’existence plus de20 trèsintéressant, làoùd’autr maturité n’a Linux permanence. d’a qu’une dizaine di plus enimportante, de teurs, communautécorrectionla Ainsi, la d’utilisa- et desfailles. sur ladécouverte faire nombreforce, unplusgrand sa car de développeurstravaille aujourd’hui Heureusement, àdesfinsmalveillantes. cette s’avèreouverture parti derechercherle co pirate dans un pour sources sont de àladisposit cesystème Dans sa jeunesse, Linuxa été les une cibledepourles choix pirates. En effet, Linux etlasécurité danslemonde. ce système millions lenombrede dotées machines de à 18 estimeaujourd’hui que l’on Pour actuelle deladiffusion comprendre deLinux, il fautsavoir l’étendue sur ce point particulier, meilleur ou particulier, cepoint sur meilleur n’estfairepour àutiliser pas lesystème a étéparticulièrement sécurité l’aspect te également des distributi te également ante sécurité est biena sécurité ante bonne administration sont à la base debase lasécurité bonne la administrationsontà . Unebonne compréhension desméca- es systèmes Unix pèchentencore,es systèmes après spose d’un système testéetéprouvéen système spose d’un plus mauvais que d’autres systèmes plus mauvaisqued’autres e valeur l’important travail travail des déve- e valeur l’important réfléchi. Attention néanmoins, Linux néanmoins, Attention réfléchi. i luttent contre et eux(contributeurs ion de chacun. Il estdonctrèsfacile ion dechacun.Il aucoup d’informaticiens et et de non- aucoup d’informaticiens de les failles éventuelles et d’en tirer d’en éventuelleset de lesfailles de la sécurité avant tout. Il n’est tout.Il pas avant sécurité de la urd’hui, la réputation de cesystème il est aujourd’hui possible de confi- il est aujourd’hui tes il y a quelquesannées,ellesont peut être utilisécomme pare-feu et nnées et il est arrivé à undegréde nnées etilestarrivé configurer unsystème etsécuriser ssimilée lors des développe- ssimilée lors ons Linux pour lesquelles ons Linux B B GNU/Linux. les connaît aujourd’hui sous lenom desystème largementtrès diffusées. noyau Linuxetsont On Différentes versions dusystèmeGNU utilisent le loppersystème un d’exploitation Unix gratuit. dans 1984 le butdedéve- initiéen d’un projet plupart sont de source GNU. GNU est lenom pour étofferl’éventail desespossibilités, dont la mentajoutés àLinux, dansdistributions, les sont égale- de grand nombre Un programmes d’interagir avec le système et de l’administrer. valds) et un ensemble d’outils permettant tenantle noyau LinuxTor- (distribuéparLinus système Linux consiste Ce qu’on appelle aujourd’hui communément http://counter.li.org/estimates.php http://www.gnu.org/home.fr.html B.A.-BA Distribution en une distribution con- LinuxetGNU 5

1 – La sécurité et le système Linux Les Cahiers de l’Admin – Sécuriser un réseau Linux B http://www.linux.org/dist http://www.linux.org/dist 6 connectées enpermanence, lasécuri compagnie ». Mais du fait entre gens de bonne deL’Internet était« où l’on conçu àuneépoque fut la croissance rapide du nombreEn résumé... des machines lorsqu’ilfo est obtenu aujourd’hui unniveau degarantir permettrait tion etl’utilisatio binaires,l’installation Notons qu’idéalement, unauditduco tionun enfera bonallié,unemauvaise,raisonnée lepire des ennemis. mais sesituetrèscert d’exploitation, site. da primordial un rôle sante pourjouer suffi- une maturité a atteint Linux ouvrage, cet dans verrons Comme nousle d’exploitation. etface importante une menacedevenue Toute entitévisiblesurl’In e itiuin rete hfrmn S :Trustix Secure Linux. des distributions orientéeschiffrement SSL • ; :Immunix OS une distribution auto-immunisée • ; Fli4L, : floppyfw des distributions minimalistes • distributionsoffrant des des servic • desdistributionss’affranchir pour desproblèmes disqueet interdire toute modifica- • :Astaro, Frazier Wall Linux, des distributions orientéesverslaréalisation de firewall • Parmi les caractéristiques intéressantes Linux, dont 27 offrent des caractéristiques spécifiques du point de vue de la sécurité. distributions de Sur le siteindiqué ci-contre,on compte àce jourpas moins de 183 RÉFÉRENCE n itiuinrsdn nRM:LnxRM; LinuxROM : enROM résidant unedistribution – ; HV Linux,Trinux : enRAM complètement s’exécutant desdistributions – – ind ytm a e iae ; tion du système par les pirates Gibraltar, ; IPCop Firewall, SME server, smoothwall Knoppix std ( std Knoppix Devil-Linux, Gibraltar,White Glove, :CD des distributions bootablessur CD-Rom Caractéristiques desdistributions sécurisées Linux knoppix-std.org ternet doit définir des objectifs de sécurité, faceà desécurité, doit définirdesternet objectifs ); sscrss:EGreScr iu ; Linux EnGardeSecure : sécurisés es urni précompilé unsupport… urni sur ecsdsrbtosscrse,o oe: sécurisées, de cesdistributions on note n de n’importe d’exploita- quelsystème ainement danslamoyenne. Une utilisa- té informatique est té informatique de effectué avant la construction des construction effectué avantla de ns le déploiement de la sécurité d’un sécurité ns ledéploiementdela aux failles bien réelles des systèmes aux faillesbienréelles de sécurité bien supérieur àcelui biensupérieur sécurité de © Groupe Eyrolles, 2005 devenue unenjeu. devenue

chapitre 2

SOMMAIRE B La société Tamalo.com Le réseau d’une entreprise ordinaire fait l’objet d’une B De la structure informatique compromission par des pirates : comment réagir, comment vieillissante à la compromission analyser l’origine du problème et mettre sur pied une topologie B Audit de sécurité réseau qui pallie les failles mises en évidence ? Comment B Réorganisation de la structure

choisir les outils adéquats ? MOTS-CLÉS B Tamalo.com B Infrastructure B Compromission B Sécurité informatique B Vulnérabilité B Segmentation B Filtrage B Administration

© Groupe Eyrolles, 2005 Les Cahiers de l’Admin – Sécuriser un réseau Linux 10 beaucoup de beaucoup de cas le avoir commencéAprès cetteaventure commec’est dansungarage vogue desagendasélectroniques depo Tamalo.com estunjeuneéditeur delo Une jeuneentreprise desmachinesdelasociété. dupiratage l’étude de àchac lités. Uneapportée sera réponse fonctionna- ses dans fiable et sécurisé informatique l’outil pleinement blir misenévidenceparcetteattaqueetlesoutilsnécessaires pour réta- sécurité Nous présenterons leproblème latopologieréseauretenue de pourpallier la de de plusieursmachines mission failles de cette Les infrastructure Tamalo.com, nousprésenteronsso lasociété connaissanceavec Après fait ouvrage. à cet avoir de trame quiservira decas Ce premier chapitre endétaillecontextedel’étude décrit matériel etlogicielnécess matériel Tamalo.com avec ses afaitle ressourceschoix d’administrer propres leparc services Les besoinsdelasociétéentermes de les intéressent. Deplus,ils pasdépart particulièrement sensibilisés à la Seules sécurité. les fonctionnalités loppeurs préconisent lesmoye équipe qui assure technique lesupport etlacréation laspécification charge L’équipela valeurajoutée constitue développeurs de etréseau. et lesadministrateurssystème etcommercialadministratif développeurs de ainsiqueleséquipestechniques de sonnesregroupées ununiquesite sur tive,la promotion de et deslogiciels relations avec les fourniss administratif gère le service Enfin, le delasociété. tique nécessaireà l’activité réseau gère et leparc informa- système Un petitgroupe d’administrateurs motive. les qui Internet del’esprit intégrante partie considèrentcomme startups , lasociétécomprend mainte eurs. Le service commercial s’occupe de laprospec- de commercials’occupe service Le eurs. aireà son fonctionnement. sont traditionnellement atta ns en fonction de leurs de leurs ns enfonction permettrontmalheureusement lacompro- n infrastructure n infrastructure informatique. de nouveaux produits. C’est cette même cette produits. C’est denouveaux société par un pirate informatique. unpirate sociétépar du suivides transact personnel, l’achat des fournitures etles fournitures des l’achat personnel, che et de la téléphonie mobile. che etdelatéléphoniemobile. giciels appliqués audomainetrèsen un des points faibles découverts lors découverts faibles un despoints aux clients de la société. Les déve- de lasociété.Les aux clients travail. Celui-ci réunit le personnel le réunit Celui-ci travail. nant unetrentaine deper- de l’entreprise. Elleaen de l’entreprise. © Groupe Eyrolles, 2005 besoins. Ils nesont au besoins. Ils chés à qu’ils lachés liberté, ions commerciales. © Groupe Eyrolles, 2005 Eyrolles, © Groupe Linux. desdistributions l’ensemble à transposables sontaisément ouvrage cet dans contenues informations tages (RPM) etquelquessubtilitésdans le nommage fichiers,les de certains de Tamalo.com.informatique Misàpart Hat qui a étéretenue par leservice Red Linux, c’est dusystème distribution infrastructure fonctionnement d’une nécessairesces outils au incluent Linux desdistributions plupart réseau. La de Tamalo.com informatique l’équipe desservices assurer pour l’ensemble Cetteprésente lesdifférentes section Tamalo.com Les choixtechniquesinitiauxde pourlacl accessibles depuisl’extérieur produits.leurs Pour in l’équipe cela, pour la promotion,tème Linuxetd’Internet de la diffusion etlesupport deuxfondateursdelasociétéontég Les opeasi: compte aussi on nécessairesParmi aubonfonctionnement del’entreprise, lesservices • Un service de transfert de fichiers FTP anonyme, de FTP fichiers de transfert Un service • •Un site web, • un service d’annuaire électronique. d’annuaire unservice • aux différentes réseau permettant d’accéder d’impression unservice • defichiersdistant un service • noms de de résolution denomspour lagestiondescouples « unservice • communica- la électroniquepour utilisée parlepersonnel messagerie une • une application de gestion des etdescommandes dossie utilisant rs clients • aussi l’enregistrement enlignedesesnouveauxclients. aussi l’enregistrement en letéléchargement pour ponibles et Ces derniers, etseslogiciels. prise mrmne ubtmn atrd ’mot ulpsed rvi ; den’importequel postedetravail àpartir du bâtiment imprimantes ; » tamalo.com « dudomaine » IP machines/adresses ; avec les fournisseurs commercial pourlesupport ettechniqueles relationsen particulier co la pour aussi mais interne, tion ; accessible depuisleréseau une basededonnées également ladiffusiondeslo http://www.tamalo.com giciels et des mises àjour.et des giciels orl tcaedsdcmns; des documents pour lestockage formatique a déployé des services réseau déployé a formatique desservices informatique classique. Concernant la classique. informatique mmunication aveclemonde extérieur, ientèle et les partenaires delasociété. les partenaires ientèle et , est ouvert pourpromouvoir, estouvert l’entre- solutions techniques retenues solutionstechniques par ladocumentation associée, sont dis- version d’évaluation. Cesitepermet d’évaluation. version alement misé sur l’utilisation du sys- alement misésurl’utilisation le système degestion depaque- lesystème ftp.tamalo.com , permet mise à jour fort bienconçu et réalisé. de processus sionstricte et despaquetages très politique : decréationetdiffu- breux avantages aurait été celui de Debian quiprésente denom- entendu,Bien fait acceptable unchoixà tout A LTERNATIVE

Debian 11

2 – L’étude de cas : un réseau à sécuriser Les Cahiers de l’Admin – Sécuriser un réseau Linux B fusée parl’ISC(Internet Software Consortium). l’implémentation lapluspopulaire. Elleestdif- diagnostic et de contrôle du serviceDNS. C’est la résolution denoms et un ensemble d’outils de DNS. Ilinclut un serveur DNS, une librairiepour BIND est uneimplémentationlibredu protocole blables. site.sontaspectsliés àlasécuritétrèssem- Les le sur employés déjà logiciels des proche plus PostgreSQL,carplus puissant,seraadéquat certainsDanscas, le serveurdebase dedonnées uploader desfichiersavec lisateurspourront disposant decomptes auquel certains téléchargeront via HTTP. Lesuti- grâce Apache un déployer aussi pourra On fichiers risée SSHdelacomman 12 http://www.isc.org/products/BIND (Berkeley Interne cp . A LTERNATIVE A LTERNATIVE O UTIL

PostgreSQL

BIND HTTP/scp t NameDomain) de Unixde copie de scp , la, version sécu- B pour remplirrôle degestionnairebasedonnées. lede de base de donnéesréseau.MySQL est désigné commelecandidat service un ilaétédécidé d’utiliser clients, Pour àl’en internes lesapplications Base dedonnées B dans les contenu est dans cecadre, logiciels éditésparTamalo.com, est unaccèspermetta tocol), c’est-à-dire Transfer (File defichiersFTP Pro- de transfert Un accès auservice anonyme Transfert defichiers Apache. nalités seront assuréesparleserveur doivent à usageinterne pages treint. Les q ainsi définies, ysont publiques zones pour lacommunication et interne les àdestination essentiellement Ceservice Web etservicesassociés Ce service permet en particulier lagestiondudomaine enparticulier permet Ce service àl’Internet. connectés sites àcontacterpour dé veurs demessagerie électronique leoulesser- pourdéterminer demessagerie lisé parleservice et réci réseau, ennomsintelligibles Protocol),(Internet utilisées par le IP assureDNSla résolution(Domainadresses Name des System) service Le Résolution denoms 2arse a antto 2 éev e 7premiers bitsàl’identifica- les27 »réserve /27 notationla « adressescar 32 less Inter-DomainRouting) 193.48. équipements réseau deTamalo.com est IPqui lui aétéattrib plage d’adresses B Le serveurHTTP( O tionsienne. intensiveest la qui distributionsce Linux.en C’estquiexpliquelemondedanspopularité partiesa etl’utilisa- UTIL http://www.mysql.org http://www.wu-ftpd.org/ http://www.apache.org

Serveur Web Serveur Apache Hyper TextHyper Transfer Protocol distributions Linux lespluscourantes. distributions proquement. Le DNSest également uti- proquement. Le logiciel développé en treprise, commelagestiondes dossiers s machines pour les communicationspour les s machines ouvert. Le serveur WU-FTPD utilisé WU-FTPD serveur Le ouvert. nt à n’importe qui de télécharger des télécharger n’importede à qui nt 97.64/27. Celadéfinitune plagede uée. Le sous-réseauutilisableparles uée. Le ue des zones dont l’accès estplusres- dontl’accès ue deszones défini par la notation CIDR (Class- CIDR notation la par défini ) Apache esttrèslargementdiffusédansles rester confidentiel relations Des aveclespartenaires. de la clientèle estégalementutilisé clientèle de la livrer surlesdifférents le courrier © Groupe Eyrolles, 2005 interne utilisantun interne tamalo.com les. Cesfonction- etdela l’identificateur du réseau et 193.48.97.95 étant réservée au étantréservée 193.48.97.95 et duréseau l’identificateur –correspondant193.48.97.64 à entre 193.48.97.65 et193.48.97.94 comprises machinesde la sociétévisibles depu Les © Groupe Eyrolles, 2005 Eyrolles, © Groupe munication de etdedistribution s logicielsévoquésprécédemment. pourlesbesoinsdecom- (Internet) l’extérieur sur est naturellementouvert ré l’unique partage veurs d’applications, L’ensemble des desmachines, PC Linux pourlespostes de travail etlesser- globale. remise encause d’une l’objet depuis quelquesannéesaévoluésansgr l’infrastruc vastes etplus confortables, soit agrandie que lasociétése Bien et vulnérable L’infrastructure informatiquevieillissante n’importe imprim quelle de àpartir d’imprimer en particulier permet réseau.Ce service d’impression sont Hat utiliséspour le service Red lprng fournisaveclesy outils Les Impression réseau à ceservice. comme support produit NFS(Network System) File unPCLinux,utilise le defichiers, serveur la disposition dupersonnel.Le le réseau par centralisé accessibleviale vices de lasociétéet pour faciliter desdocuments produits parlesdifférents ser- l’ensemble Afin decentraliser fichiers de Partage lettres.boîtes à aux accéder pour tocol) protocol le utilisent clients travail du trèsclassique entre àl’aide sites, MailTransferSMTP (Simple courrier électroniqueLa messagerie de l’entrepri Messagerie électronique (2 les machines po bits 5 donc reste ;il duréseau tion 5 32). = ante de lasociété. ante e IMAP (Internet MessageAccessIMAP (Internet Pro-e leur sauvegarde, un système de fichiers de leur sauvegarde, unsystème et très répandu Sendmail. Les postesde Les Sendmail. répandu et très et ait déménagé dans des locaux plus dans deslocaux ait déménagé et ture système et réseauinitialedéployéeturesystème stème Linux issu d’une distribution stème Linuxissud’une n’importe sur quelpostedetravail ur créer des combinaisonsur créer identifiant sItre uotdn e dessIP is Internet auront donc desadresses s différents postes de travailestmisà seutilise leprotocole de detransport Protocol) pourdélivrerles messages seau local Ceréseau del’entreprise. ande concertationetn’a jamaisfait broadcast . B mations jusqu’à leur destination finale. leroutage desinfor- effectuer des systèmes pour IP. Elle est utilisée parla couche réseau l’adresse réseau pour permettredel’identifier. C’est bitsestattribuée àchaquemachine du de 32 Datagram Protocol). Uneadresselogique unique (Transmission Control Protocol) et à UDP (User entre eux.OnletrouveengénéralassociéàTCP decommuniquer divers ments informatiques Projects Agency) pour permettre àdeséquipe- l’agence DARPA Advanced (Defense Research dans été développé IP a B http://www.sendmail.org http://www.washington.edu/imap B.A.–BA B.A.–BA IP(InternetProtocol) Serveur SMTP Serveur Serveur IMAP Serveur les années 70-80 par 13

2 – L’étude de cas : un réseau à sécuriser Les Cahiers de l’Admin – Sécuriser un réseau Linux ahns». machines Attaquescompromissions et de 3« chapitre au Cettedécrite plusendétailattaque sera 14 Réseau historique Figure 2–1 dela sécurité informatique. développeurs àla direction, uneprise provoquerde niveaux, des positif àtous les eu lecôté quand même aura quences pu auraient être graves très Tamalo.com.une situationdont lesconsé- de justesseà sociétéaéchappé La étaitseulement d’ut dont l’objectif mises. Cesressources n’ont heureusemen été compro- ont des partenaires, ressources à d’entreprises mettant l’accès desmotsdepasse per- enparticulier Des données sensibles pourl’entreprise, également àmettre encause. sont coup despar un systèmes suiviirrégulier coup des et postes detravail Unegestionau dusite. desressources totalité informatiques àla illimité àfavorise contribué certainement très L’infrastructure amême Elle subie. contre inefficace l’attaque s’estrévélée duréseau,sontcompromis depuisl’extérieur. Une puisl’ensemble machine, se d’un jour à mise la dans retard Un La compromission dusite réseau. concerne lesservices qui desoutils sontl’ensemble libresou cher à Tamalo.com. des À l’exception tion, maisaussi parcequ’il correspondai L’environnement Linuxaétéchoisien Postes detravail A B C D E Mo F dem B an k G du domaine public, notamment ce pour notamment public, dudomaine H rvice d’impression, etla sanction tombe. d’impression, rvice pourson avenir. Cette compromission ON- SEL LI ECT NE ED Routeur iliser lesmoyens de informatiques de conscience du risque etdesenjeux de conscience du risque r sar propagation enoffrantunaccès t bien à un état d’esprit d’ouverture t bienàunétatd’esprit raison de son faible d’acquisi- coût desonfaible raison ateliers dedévelo ateliers Internet t pasétéexploitéesparlespirates, PRINT Domaine tamalo.com SQL 193.48.97.64/27 © Groupe Eyrolles, 2005 Serveurs réseau Serveurs WWW ppement logiciel, DNS FTP © Groupe Eyrolles, 2005 Eyrolles, © Groupe travailler.devront lesquels lespersonnesen charge de despointssur 2-1,pagesuivante,résume l’ensemble contenu dutableau Le desécurité. enterme demeilleur que latechnologiepeutoffrir Une réponseàchaqueproblèmesoulevé traiter aucette réflexionquenousallons cours decet ouvrage. œuvre lamiseen de C’est est entreprise. qui danslaréflexion primordiale ganisationmoyens deses informatiq tage, ladirection de Tamalo.com unecomplèteréor- décide d’entreprendre àla de crise situation dela Consciente La refonte dusystèmeinformatique tégie de gestiondesaccès. desréseau, danslechoix logicielsapplicat qui constatede moyens informatiques, des charge delagestion en parl’équipe est réalisé Un auditdesécurité Mise enévidencedesvulnérabilités 6 5 4 3 2 1 une ciblepotentielle. vue de société est des machinesdela gestionLa des accèsauréseauen ciels estinexistant. des jour mises à suivides Le sécurité. et nesont pasutiliséssystémat réseauprésentent de applicatifs Les de compromission. des L’absence rapide tentatives nuit à la détection desurveillance d’outils nomsdecompte comme les chiffrées, le transiter sur laissent IMAP). Ils protocolesdecommunication util Les des communications,ysensibles.les plus compris zones dansles Une fois dans la place, n’yIl apasde duréseau. segmentation physique ni de cloisonnement le pirate entremachines. transitent qui frauduleuse etdonclacapture sensibles desinformations l’écoute favorise connecter physiquement lesordinateurs du réseau. Utilisé partie un câblage10Base2 subsistesurunegrande pour réseau n’estLe pasentièrement commuté. Pour des raisons historiques, a donc pulibrement écouter l’ensemble iquement à leurs meilleurs niveaux de la gestion des moyens informatiques ues. La composante sécurité devient composantesécurité ues. La réseau des informationssensiblesnon quelle peutconduire unacte depira- l’extérieur et devient parconséquent etdevient l’extérieur nombreux défautsdeconfiguration trée desiteestinexistante.Chacune réels défautsdansl’infrastructure réels s et les mots de passe associés. les motsde s et systèmes d’exploitation et des logi- et d’exploitation systèmes isés sont(FTP, fragiles TELNET, sera apportée dans la limite de ce limite dansla apportée sera ifs utilisés, et au niveau de la stra- etauniveaudela utilisés, ifs sur le réseau local, ce câblage sur leréseaulocal, 15

2 – L’étude de cas : un réseau à sécuriser Les Cahiers de l’Admin – Sécuriser un réseau Linux inadaptée (10Base2) inadaptée Technologie d’interconnexion matérielle Défaut Pas de segmentation, réseau plat Création de plusieurs sous-réseaux locaux locaux sous-réseaux Création deplusieurs Pas réseauplat desegmentation, eto ’cè nxsat Filtrage (sniff) frauduleuse l’écoute à réseauvulnérable decommunication Protocole inexistante d’accès Gestion d’adresse IP) d’adresse (spoofing d’identité l’usurpation à sensibles réseau protocoles des basses Couches ce Métrologie Métrologie ce surveillan de Absence Défaut de configuration des OS et des applicatifs Formation, b Formation, Défautdeconfiguration desOS et des applicatifs 16 Action Utilisation de commutateurs réseau decommutateurs Utilisation Remplacement par100BaseT machines équipement dechaque rôles suivant les d’accès Contrôle protéger les données sensibles lesdonnées protéger pour (cryptage) lechiffrement utilisant desolutions systématique enœuvre Mise d’authentification Mise enplacedemécanismes Audit sécurité systèmes des l’intégrité de surveillance d’intrusion, dedétection Outils chaque service. afinderépondre appliqué mentaire sera aux spécifiquesà besoins desécurité complé- Linux un filtrage est Netfilter/IPtables. chacune desmachines, Sur L’outilrouteurspare-feu. de et de de L’accèsl’entreprise. gérépardesPC/Linux sera faisant office àchacund’eux trois serontinterconne sous-réseaux Les HTTP, FTP, MAIL. troisième groupe comprendrales servic (NFS, interne tion SQL,PRINT, LDAP) seront également isolés.Enfin,le àvoca- seront services regroupés logiquement surlemême sous-réseau.Les Troispostes groupesdéfinis. Les ontété façon adaptée. de er les équipements informatiques identifiée de manière àcompartiment Chaque besoin qués lorsdel’audit. liéesauxproblèmesréflexions de topolo représente 2-2 unearchitectu figure La Le projet d’unenouvelle infrastructure réseau Tableau 2–1 systématique des réseaux des et réseaux des systématique réseau onnes pratiques d’administration Config de BIND, HTTP, Sendmail, et Sendmail, HTTP, deBIND, Config d’administration pratiques onnes Alternatives sécurisées Outils les VLANs supportant decommutateurs profit au éliminés seront de10Base2, àcelui ment estsimilaire HUB, detype matériels Les lecomporte- dont Linux Netfilter/IPtables, TCP Wrapper filtrants routeurs comme utilisés Linux/Netfilter/IPtables HTTPS remplace HTTP HTTPS remplace IMAP IMAPS remplace SSH remplaceTELNET, FTP, RSH SSH, SSL SSH, Tripwire, antivirus/mail) Snort, (Nmap,Nessus, d’outils Déploiement a étédéfinietchaquefonctionnalité filtrage réseau util gie réseau et de contrôle d’accès évo- gie réseauetdecontrôled’accès re prenantdifférentes en compteles es en contact avec l’extérieur DNS, avec l’extérieur contact es en de travail du personnel de la société dela dupersonnel de travail ctés via leréseaulocal principal de © Groupe Eyrolles, 2005 isésur lesystème c. © Groupe Eyrolles, 2005 Eyrolles, © Groupe

Ethernet A C Firewall FW-A Firewall FW-B 123456 78910 11 12 1x 7x 2x 8x 3x 9x A 10x 4x 5x 11x 6x 12x 1x 7x 2x 8x 3x 9x B 4x 10x 5x 11x 6x 12x Internet

Ethernet A C 123456 78910 1112 Postes detravail 1x 7x 2x 8x 3x 9x A 10x 4x 11x 5x 12x 6x 1x 7x 2x 8x 3x 9x B 10x 4x 5x 11x 6x 12x

Ethernet A C 123456 7891 011 12 1x 7x 2x 8x 3x 9x A 10x 4x 11x 5x 12x 6x Filtrage ! 1x 7x 2x 8x Filtrage ! 3x 9x B DNS 10x 4x 11x 5x 12x 6x Serveurs applicatifsinternes Serveurs Domaine tamalo.com Serveurs publicsServeurs 193.48.97.64/27 SMTP IDC PRINT SQL IMAP LDAP WWW Nouvelle infrastructure Nouvelle Figure 2–2 17

2 – L’étude de cas : un réseau à sécuriser Les Cahiers de l’Admin – Sécuriser un réseau Linux 18 deux systèmes. Nous verronssystèmes. leurmiseenœuvredeux de cetouvrage. aucours lesaccèspour auxinformatio sécuriser utilisé conjointementavecun serveur defichiersentre machines. Op ferts teurs deTamalo.com etles trans- les connexions interactives pour sécuriser enparticulier, Shell) (Secure SSH est confidentialité desdonnées. la compléter viennent dechacun l’authenticité garantissant Des mécanismes co but de dans le gées, sontapparues échan- données des l’ensemble tionschiffrant dites sécurisées,c’est-à-dire tr sensiblesquidoivent informations pour contrer toutetentativedepiratage et de seprémunir Afin risque dece du trafic. totalité la facile decapturer accès sur unedes machines duréseau,illuiest dispose lorsque lepirate d’un Comme pourlesy celaaétélecas Vers desoutilsdecommunicationsécurisés desadministrateurs. de lapart accrue une surveillance mières vers l’extérieur,et orientée est maisnéanmoinscontrôlés.Cetterisés DNS,HTTP, doivent être FTP, auto- accès depuisl’extérieur MAIL. Leurs troisième sous-réseaucomprend le Le publics. les services dupersonnelou les postes de travail mondeextéri du exemple)sontisolés par à (SQLusage interne pourlesbasesdedonnées d’applications serveurs Les ces postesn’aient pasde restriction deTamalo.com.l’extérieur L’activité Parconséquent, ces machines doiventêtredepuis invisibles deservice. offrir postes de travail destinés Les au personneln’offrent pasetnedoivent pas extérieur. monde ouavecle l’entreprise de duréseau l’intérieur soit à ce ments, que lanature réseaux, ilconvient d’étudier Afin de defilt déterminer lestypes Études desfluxréseau ’cè esletrer(iue2–3). (figure versl’extérieur d’accès par l’intermédiaire desmachines offrant par l’intermédiaire rages àappliquersurchacundes sous- mbler les lacunes des produits existants. quotidienne du personnel nécessite que nécessite personnel du quotidienne enSSL (Open Secure Sockets Layer), Sockets enSSL (OpenSecure l’alternative choisie par les administra- les par choisie l’alternative stème d’informatio WebIMAP, un serveur et a étéretenu ansiter entre les machines. Des solu- entreDes ansiter lesmachines. s serveurs encontact avecl’extérieur s serveurs desfluxentre lesdifférents équipe- plus vulnérable. Elle sera soumise à Ellesera plus vulnérable. zone, plus ouverte que les deux pre-deux que les plusouverte zone, , il estindispensablede protéger les ns confidentielles diffusées par ces eur. neseront Ils accessibles que par © Groupe Eyrolles, 2005 n deTamalo.com, © Groupe Eyrolles, 2005 Eyrolles, © Groupe

Ethernet Postes detravail A C 123456 78910 Firewall FW-A Firewall FW-B 11 12 1x 7x 2x 8x 3x 9x A 10x 4x 5x 11x 6x 12x 1x 7x 2x 8x 3x 9x B 10x 4x 5x 11x 6x 12x Internet

Ethernet A C 123456 7891 011 12 1x 7x 2x 8x 3x 9x A 10x 4x 11x 5x 12x 6x 1x 7x 2x 8x 3x 9x B 10x 4x 11x 5x 12x 6x

Ethernet A C 123456 7891 0111 2 1x 7x 2x 8x 3x 9x A 4x 10 x 5x 11 x 6x 12 x 1x 7x 2x 8x 3x 9x DNS B 4x 10 x 5x 11 x 6x 12 x Domaine tamalo.com Serveurs applicatifsinternes Serveurs Serveurs publicsServeurs 193.48.97.64/27 SMTP IDC PRINT SQL IMAP LDAP WWW Étude des flux réseau flux des Étude Figure 2–3 19

2 – L’étude de cas : un réseau à sécuriser Les Cahiers de l’Admin – Sécuriser un réseau Linux 20 mise enplacedessolutionsdéfiniespa chapitresLes qui vont suivre décriven etlescomposants. redéfinir complètement l’infrastructure d’en la direction deTamalo.comlimitées, afin sesmoyens informatiques a analysé Face à un problèmede sécurité dont frais. de la sociétéTamalo.com,ques et,à l’image enfontrapidement les parfois la administrateurs humaines. Certains est informatique lesystème Sécuriser En résumé... Nmap et Nessus. la robustesse desmesures déployées. No des dommages. éprouve du et valide Parallèlement,système sécurité l’audit ou unetentativedecompromission perm desattaques. Dé détection efficace régulièredu système surveillance La logiciels. et des d’exploitation de suividessystèmes travail le inconscient etdangereuxserait de Il à lamenace sous-estimer permanente. importan detravail une sentant quantité encompte des misesà prise jour à mesu auma delimiter afin informatique pourquoiindispensabled’ ilest C’est chère estpermanente. estundomaine informatique où la suren-sécurité jours plusingénieuses.La dont il a la gestion, tandis etrése système l’administrateur temps, que le pirate, lui, trouven’existe inviolable informatique parfaitement système pas.AuLe cours du de nouvelles failles tou- système d’information Un suivietunegestionquotidiennedu couvrir rapidement une compromission une rapidement couvrir les conséquencesont étéheureusement ximum connues.La lesvulnérabilités négligentparméconnaissancedes ris- une tâche qui nécessite des ressourcesune tâchequinécessite r la nouvelle politiquede sécurité. assurer unsuivirégulierdusystème est également primordiale pour une est égalementprimordiale re bienque repré- deleursparutions, t étape par étape l’élaboration etla t étapeparl’élaboration au améliore la sécurité dusystème amélioreau lasécurité te, est déjà une défense efficace face efficace te, estdéjàunedéfense us traiterons à ce titre des us traiterons scanners et d’éviter oudelimiterl’étendue et d’éviter © Groupe Eyrolles, 2005

chapitre 3

Compromission ! Attaques !

Dénis de service ! Scans !

Internet

SOMMAIRE B Qui sont les pirates ? L’attaque survenue à Tamalo.com offre l’occasion d’analyser les B Déroulement d’une attaque différentes étapes de la compromission d’une machine ainsi B Scan réseau que les contre-mesures adéquates. Là encore, il ne faut pas B Compromission négliger le profil, les motivations et les techniques des pirates B Analyse d’une machine pour concevoir un niveau de protection adapté. compromise

MOTS-CLÉS B kiddies, hackers, crackers B warez, rebond B DDOS, buffer overflow B exploit, scan B compromission B rootkit, t0rn, sniffer B Ethereal B backdoor B promiscous B OSI, MAC B Logs, core, Whois, CERT, abuse

© Groupe Eyrolles, 2005 Les Cahiers de l’Admin – Sécuriser un réseau Linux Le fausses cartes bancaires. Dépourvus de compétences techniques les bles dessystèmes à desfins nuisibles. Beaucoup moins scrupuleuxles que tion malveillante. faibes dessystèmes mais s’interdit leur exploita- tation. Ilcherche à mettre enévidence lespoints cible. leur permettent de prendre le contrôle deleur utilisent, sanslescomprendre, desscriptsqui script kiddies crackers Le Le téléphoniques dans les autocommutateurs. 24 phreaker hacker carder hacker, cracker, kiddies script n’hésitent pasàutiliser lespoints fai- est impliqué dans la réalisation de est un expert des systèmesd’exploi- expert estun T , estspécialisé dans levold’unités ou plus ou simplement les Carder, phreaker, d’impression deTamalo.comd’impression Vulnérabilité serveur du hackers Figure 3–1 kiddies , les ou d’adapter leniveau deprotectionnos systèmes. de d’adapter et debienévaluerlerisque ques deceuxquinousattaquentpermettra Pour commencer,unepr connaissancedu nisations peuventêtre ut le analyser comment informatique, tème Nous égalementcommentréagir décrirons àmêmedecontrer uneattaque. machine afind’être efficacement différennaîtrepossible les lemieux con- de ils’agit 3-1), à Tamalo.com concretcas du survenu À partir (figure tique. dudé meilleurs défenseurs les souvent teurs voire les utilisateurs qui ont vécu une deviennent telle intrusion sion informatique et des outils mis en intru- d’une la description le lecteur par butdecechapitre estd’alarmer Le Le plus grand nombre euxestconstitué plusgrand les par d’entre Le différents. desmoyens etdesobjectifs ontqui chacune uneclientèle, piratesinformatiques se Les Kiddies, warez etrebonds script kiddiesscript , parfois desadolescents, quiépatentleurs amisenprenant la , parfois Postes clients iles dansuntelcas. répartissent principalement endeuxcatégories principalement répartissent POWER FAUL T DATA ALA RM tes étapesdelacompromission d’une œuvre par les pirates. Les administra- œuvrepirates. Les parles veloppement de la sécurité informa- dela sécurité veloppement s systèmes compromis,systèmes s orga- quelles ofil, desmotivations etdes techni- face à une intrusion dans un sys- un dans intrusion une à face Internet ROUTEUR SERVEURS © Groupe Eyrolles, 2005 kiddies PRINT HTTP ( amt ») marmots (« À l’autre extrême, un petit nombre de pirates est issu de la communautéde issu nombre extrême, estdes unpetitdepirates À l’autre danslemonde. machine, quelquepart perm panoplied’outils possession d’une bon moteurderecherche, setrouvera enquelquesminutes le jeunepirate toussont lesoutilsle disponiblessur point devuepratique, Du encourus. ajoutée àla méconnaissance desrisques fa êtreIl informatique. pour unpirate © Groupe Eyrolles, 2005 Eyrolles, © Groupe crackers il n’est un pasnécessaired’Internet, d’être main sur tel ou tel site plus ou moins connu. Il faut savoir qu’à l’heure Les crackers, eux, crackers, Les sy des domaine quiéprouvent lasécurité sontsécurité, la desdéveloppeurs sy qui sontalorsmisenœuvrepar des prendre le d’en permettant grammes comme conséquence un blocage co blocage comme conséquenceun puavoir cequiaurait racines, serveurs L’attaque 9des13 arenduinopérants IPpourto adresse – résolution nom racines, serveurs mondial. Ces 13 System) racines duDNS(Domain Name 2002contreserveurs les octobre 21 le attaque aété !Unetelle dirigée plusieurs centaines de machines peut mettre en jeu vers lacibledeson d’attaque choix. Ce type Of Service), distribué, service déni de attaque en lancer, pourra nier del’ense àpartir un pool de machines sous le contrôle d’un desmachines pirate. cas, certains dans Enfin, Le moment venu,ce der- été oùilaurait bles lejour contenues lesplusflagrantes traces da semaines vontassurés’écou queplusieurs du problème.Pourtant,seulement quelquespeutêtreaprès rebonds,pirate le administrateurs des sites concernésréagissentet essa dusiteattaquant. puis protester auprès qui, tourà tour, vont mettre uncertai chaîne des machines compromises, il faut contacter les sites correspondants, remonterla pour En effet, pourlepirate. d’impunité unegarantie c’est attaqueruneautre. Cette but d’en le commerebond,dans machine la de Autre l’utilisation possible, motivation (Internet Relay Chat) ouun scanner. liser lesressources, parexemplepoury ordres. Tout uti- demachinesdans decontrôle le butd’en laprise d’abord, être unsitepeuvent deplusieurs pour attaquer despirates motivations Les , à ne pas confondre avec les confondreles , ànepas avec

étudient les failles des systèmes et écrivent des pro- etécrivent dessystèmes les failles étudient possible sa d’identifier machine. mplet de l’Internet mondial ! ! mondial del’Internet mplet mble de ces machines compromises, une compromises, machines de ces mble script kiddies script technique estfréquemment utiliséecar hackers en anglais DDOS (Distributed Deny (Distributed enanglaisDDOS stème extrêmement n temps à trouver la decause l’attaque, Web. Avec etun quelquesmots-clés contrôle. Ils publient ces programmes ces publient Ils contrôle. ns les routeurs neserontns disponi- plus sont compromisesconstituer sont afinde installer unsitewarez, unrobotinstaller IRC Dans l’hypothèse favorable, tous les Dans l’hypothèse ut justeunepetitedosedecuriosité ute communication surInternet. ettant deprendre d’une lecontrôle ler pourremonter sa piste. Ainsi les stèmes dans le but delarenforcer.le stèmes dans gourou . Cesderniers,danslemondede root servers, sont à la base de la . des systèmes etdesréseaux des systèmes ient de trouver la cause pointusleur dans défiera des codes immatures.défiera descodes ses programmesgrâceà unesourcesûre et se manqueramettre àjourfréquemment pasde nouvelles défaillances. L’administrateur avisé ne découvrirde lespiratesd’y en plus pour difficile grammes vulnérables. Ainsi,ildevientdeplus faillescorrectionmène àla dessources despro- des d’exploitation destechniques La publication vil ’teto elamnsrtu éeu! éveille l’attention del’administrateur réseau même laprésence de cedébit anormal qui parfois C’est ! de Mbits/s dizaines de plusieurs montant), aussi bien qu’une liaison spécialisée Kbits/s (trafic ADSLde quelques centaines de réseau considérable,lien un capabledesaturer Une machine warez génère toujours une charge l’intermédiaire decanaux IRC. piraté estleplussite souvent diffuséepar des fichiers qu’ils veulent distribuer. L’adresse du Les piratesydéposentdeslogiciels, desfilms ou bon accès réseau. d’un ainsique important, disque espace d’un le contrôle d’un pirate, dotée le plus souvent Unsite warez est constitué d’une machinesous B.A.-BA Mettre poursécuriser àjour Q U ’ EST - CE

QUE

C ’ EST ? Warez 25

3 – Attaques et compromissions des machines Les Cahiers de l’Admin – Sécuriser un réseau Linux B : à partirdel’URL suivante téléchargeable il est ; souss’appelle Nmap Linux son réseau. Lescanner leplusréputé disponible un pour établirla listedes servicesofferts sur Undoit d’enposséder administrateurréseau se Le scanner n’est pasun outil réservéauxpirates. l’extérieur.depuis d’établirliste la desserveursweb accessibles afin de votreréseau l’ensemble 80de port Par exemple, un attaquant pourra scanner le le compte administrateur client aurabientôtque le suraccès unprobable Si cedernier tourne enmode privilégié, il est ! machine, sous l’identité duservice choix àla de son code exécuter le pouvoir faire En écrasant ces instructions, lepirateva donc cessus serveur. prochainementvont être exécutéesle pro- par cet endroitétaientstockéesdesinstructionsqui immédiatementzone laallouée parleservice. À écrasecontenu doncmémoire le dela suit qui beaucoup trop long. Une partie de cet argument un cracker, argument un serveur au envoie Ainsi, l’application cliente,modifiée parfois par estpossible.mémoire ments qu’ilreçoit (taille…), un débordement de Si leservice ne vérifiepascorrectement les argu- service.mémoirepar le de allouéepar unezone l’applicationcliente. Cesargumentstransitent depuis reçoit desarguments ftpd Linux, sous service, :un parexemple wu- Enprincipe voici le machine… 26 http://www.insecu nmap_download.html B.A.-BA et exécution de codearbitraire Débordement demémoire re.org/nmap/ root dela votreprésentent unevulnérabilité. réseauqui la au qui permet d’avoir pirate l’élément une compromissionEn effet, estlepl pastoutecettesurveillance. vousdeceréseau,nenégligez êtesencharge Si connue. hasard, unefaille pour voirsiunemach parc informatique signifie qu’il y a toujours quelqu’un, de voir réseau, vousaurez lasurprise d’anal unjourlacuriosité vousavez Si réseau Utilité desscans correctif,nommé d’un versionou nouvelle d’une autres àl’écriture travaillent Les sion vulnérable. de prendre c’est-à-dire lecont faille, s’agit il : » exploit « d’un l’écriture à premiers travaillent Les des systèmes. développeurs etles entre lescrackers faille nouvelle publication d’une La ») exploit L’exploitation delafaille(« débordement demémoire-tampon ou utiliséepour laplusclassique faille La ouuneerreurde cedernier. danslaconfiguration système du une faille part lescompromissions actuelle, À l’heure exploitentpourlaplu- demachines Une failledanslesystème Tamalo.com Scénario del’attaqueduréseau De leur côté, les développeurs diffusent le patch de sécurité. les développeursdiffusentDe leurcôté,lepatchdesécurité. nombre certain connusdans ce desitesInternet milieu. d’un l’intermédiaire de met son la communauté à la disposition exploit par cracker des pirates Le Internet. constitue parc que duimmense sur l’ensemble temps à dans la plupart des le patchcas arrive avant celui-ci l’exploit, n’est jamais déployé À ce jeu-là, les pirates ontl’avantage,toujours malheureusement car même si Le scan vertical consiste à scanner une plage deportssur une mêmemachine. • Le scan horizontal consiste à scanner un portsur un ensemble de machines. • laliste descouples machine/serviceafind’établir ouverts. Un scanner est un programme quibalaye une plage deports sur unensemble de machines, O UTILS

Scanner réseau Scanner patch en anglais. enanglais. d’un programme permettant d’exploiter la d’exploiter permettant programme d’un rôle de toute machine employantrôle detoutemachine laver- que les scans y sont permanents. Cela y sont scans queles quelque part, en train d’analyser votre d’analyser entrain part, quelque entraîne unecoursecontremontreentraîne la prendre le contrôle d’un service estle service prendre le d’un contrôle buffer overflow buffer us souvent précédée d’un scan. C’est scan. us souventprécédéed’un liste des machines et des services de des listedesmachinesetservices yser le trafic à la frontière àla devotre letrafic yser ine devotre réseaun’offre pas,par © Groupe Eyrolles, 2005 , enanglais. L’attribut L’attribut rend un un rend © Groupe Eyrolles, 2005 Eyrolles, © Groupe ps nouveau un installé aurait-il un administrateur ; décembre dernier été crééle26 a révèle quelefichier Tamalo.com lacommande de anormal comportement du seplaint ainsiqu’au retour deNoël,C’est desvacances undéveloppeur de suspecter machine. lacompromission d’une souvent une accumulationC’est dedéta devacances. oupendantlespériodes week-end, lesjoursfériés estrelâchée. Ainsi,lesattaquesontsouvent lieu lanuit,le l’administrateur organisentuneattaque cible.Ils pour ontsouvent uneco pirates leplus Les La compromission sements et d’accès disque permanents, disque sements etd’accès Par lesutilisateursdelamach ailleurs, piler demanière statique ( quelquescommandesoriginales Hat, de recom- les tempsde ressortir CD-Rom de ladistribution Red Le gère delogiciels. les versions conséquence pourTamalo.com ce se car plus approfondies.réseau afindefaire Cen’est desvérifications passans est il : s’impose Une seuleconclusion son activité. Desi plus,lerésultat de ce qui laisse redouter queleprogramm n’yla table dessymboles figure pas.Cet sontdéployéesles commandes po système uluscmadspretn aieetd enrl rbèe: leproblème decerner commandes rapidement permettent Quelques attendue. et il va être possible de mesurer l’ampleur des dégâts. et ilvaêtre possible demesurer l’ampleur 1 2 1 … saufsicettecommandeaétémodifi Examiner lanature dufichier puis decréationdufichier. Examiner ladatededernière modification Déterminer oùsetrouve leprogramme L 2bt S xctbe lba. o tipd????? stripped not blabla.., executable, LSB 32–bits ELF /bin/ps file /bin/ps –lc ls –l/bin/ps ls /bin/ps ps which segmentation fault segmentation not stripped not est étrange pour une comm une pour estétrange s– /bin/ps –l ls ps pendant les vacances ? ? les vacances pendant en lieu etplacede en ps ... e neprovientdistribution. pasdela pendant une période oùlavigilancede pendant une période ine se plaignentderalentis- concernée attribut ne donc devrait pas apparaître, urgent dedébrancher lamachinedu ce que ne confirme pas lacommande rveur contient le référentiel CVSqui référentiel le contient rveur nnaissance minimaledu site choisi ils plus ou moins anodinsquilaisseils plusou paraît acceptable, acceptable, paraît ur économiser de l’espace disque et l’espace de ur économiser ée par unpirate afin de dissimuler ps . En général, ande système. la liste desprocessusla ps s–c/bin/ps –lc ls , ls , netstat ps :elle ) piratage. d’exploitationretoursystème sainaprès àun maté. Cetterègle estessentielle pour garantir le tèmeêtreentièrement defichiers doit refor- conduire àsa réinstalla tion complète. Lesys- compromissi la pourquoi toutes les modifications qu machinecompromise permettradedétecter Il estimpossibled’affirm installé parlespirates(ici tement anormal qu’on soupçonne d’avoir été Dans certains cas, leprogramme au compor- ATTENTION compromise. grammes sur lamachine potentiellement depro- le moins possible invoquer donc système pour une analys sateurs maisaussilesprogrammes du garder afin depréserverlesdonnées desutili- surréamorcer unsystème de sûretdesauve- comprendra que la prem l’ensemble desprogrammes installés. On d’un doute nous contraint à douter de tain nombre d’invocations. L’existence même une bombequi se déclenchera après un cer- B.A.–BA B.A.–BA En casdecompromission… er que l’analyse d’une l’analyse er que on d’unsystèmedoit ière chose à faire est chose àfaireière ’elle a pu subir. C’est e ultérieure. Il faut ps ) peut contenir ) peut 27

3 – Attaques et compromissions des machines Les Cahiers de l’Admin – Sécuriser un réseau Linux contre defutures attaques. mieux arméspourseprotéger permet d’être la connaissance du mode opératoire des pirates D’autre part, ! un dépôtdeplainteestenvisagé si indispensables seront qui pirate… destraces quence l’effacement decertaines tracesdu pulationsqui risqueraient d’avoir pour consé- grave, cela permettra d’éviter les fausses mani- raisons.part, encasdecompromission D’une et méthodesd’unetelle analyse, et cepourdeux de connaître et d’avoir mis en œuvre les outils ! Pour autant, il n’est pas inutile trateur système ciaire plutôtle travail que courantd’un adminis- est donc duressort des autorités depolice judi- L’analyse forensique d’unemachinecompromise son mode opératoire. l’identitéetde déterminer del’auteur ainsi que a pour objectifdeprouver l’existence d’un crime de criminalistique. Uneinvestigation forensique cela. objectif, d’autres sont siriches qu’ellesintègrent furent conçues etréalisées en fonction decet seul CD-Rom etsansinstallation. Certaines »,c’est-à-direutilisables grâce àleur live CD « lesdistributions deLinux disque dur.placéssur le On luipréférera donc lation exploited’ordinaire lesprogrammes produite » durant l’instal- rescue La disquette « pestives deprogrammes déployés parlepirate. installés etnonexposé autonome donc non dépendant des éléments d’un environnemen bénéficier, contexte, du del’exploration lors de réamorcernécessaireestIl lesystèmeafinde Forensique, en anglais 28 O T UTILS Investigation ForensiqueInvestigation

«rsu t«lv D» live CD » et « rescue « t logiciel de provenance sûre, aux modificationsintem- forensic disponiblessousforme , estsynonyme La commande commande La parlasuite. confirmées chauddévoile quelquesanomaliesserontà qui Dans notre exemple, l’analyse programme : : programme taines commandes peuvent faut enpremier lieus’assurer quele Il un redémarrage. après d’ou pirates disposenteffet, les parfois d’ex dusystème del’état indicateurs machine, compromissiond’une de En cas Traces visiblessur lesy Analyse delamachinecompromise de lesfailles et utilisés les outils sées aucoursdecette par lespirates suit, nousallons Dans cequi matique. lepremier contact de pratique C’était tefie ifrnsnvax: être faitesàdifférents niveaux pirate, parexempleafin de masquer La commande commande La 000, invisible auparavant. 15 écoute surleport port 15 000. Grâce à cette porte dérobée, dérobée, 000.Grâceàcette porte 15 port • Modification des modules du noyau : si : les modules du noyau sont modi- des modules Modification du noyau • oiiaindscmads: descommandes Modification • • Modification des bibliothèques dyna desbibliothèques Modification • ques utilisées par ques utiliséespar la commande complète. directement,on fiable et passera à ch onfiés, considèreraquel’analyse bibliothèque aumomentdesonexécution. lecodede tiendra toutes lesfonctions aucune utilisées, ilne chargera l’option de compilation en mode statiqueafinqu’elles n’en Pour dépendentplus. cela, utilisez commandes les compromise) machine la sur pas entendu (bien compiler commande (la commande commande (la sontles bibliothèques dynamiques ut surle système. d’origine Dans ce cas,la parade consiste simplement à recopier la commande /usr/sbin/nscd esa -tupan netstat ps modifiée nous cachait quel modifiéenous cachait avoir étémodifiéesparlesoutilsdont disposele –static , qui esticiune d /bin/ps ldd nos systèmes qui ont été exploitées. quiont nossystèmes sur le système fait apparaître un service en faitapparaître un service surlesystème stème avant réinitialisation ps compromission afin demieuxconnaître afin compromission /bin/ps s commandesutilisées sont saines. Cer- ploitation avanttoutredémarrage. ploitation En sa présence. Ces modifications ontpu modifications Ces sa présence. degcc. L’exécutable résultantcon- , après sauvegarde, à la réinstallation sauvegarde, àla après Tamalo.com avecun analyser plus en détail les traces lais- plusendétaillestraces analyser tils permettant d’effacer leurs traces leurs d’effacer permettant tils ls miques : les fonctions incluses dans fonctions :lesincluses miques aud ne peut pas apporter derésultat apporter pas ne peut aud le pirate pouvait revenir seconnecter piratepouvaitrevenir le , ilestutilede récupérer quelques ilisées lors de l’exécution d’une ilisées lors del’exécution netstat fournira laliste des fournira bibliothè- ). Pour). y remédier, de suffit il backdoor ques processus, dont le © Groupe Eyrolles, 2005 , find SSH en écoute surle , du piratage infor- piratage , passwd , etc. © Groupe Eyrolles, 2005 Eyrolles, © Groupe ilrestePour lo àmonter(en l’analyse, Montage pourl’analyse : L’analyse faiteenpoursuivant sera différents àfroid dusystème objectifs Analyse finedel’imagedudisquepiraté ledumpet pour estsauvéesur unau Chaque partition Sauvegarde dusystème compromis PROMISCUOUS, les commandes par lesyst sontpas journalisées Elles ne sur notrefaçonLes machinede discrète. Enfin, la commande commande la Enfin, machine. fich-hda1 exemple : par le fichier du dans nom compromise Dans le cas où plusieurs machines sont compromises, faites apparaître lenom delamachine SENS BON 5 4 3 2 1 machine-compromise> dd if=/dev/hda1 | nc machine-saine 10101 machine-saine | nc if=/dev/hda1 dd machine-compromise> > fich-hda1 10101 –p –l nc machine-saine> host_compromis_hda1 mount –o –o loop, mount passe du réseau ont pu être compromis.passe duréseauont l’intrus jusqu’àquel point Déterminer elle-même souslecontrôledupirate). très prob est il : (attention cations avoirdesexpli- afindela contacterpour Connaîtrela source del’attaque machines du sitedes signeséventuelsdecompromission. afin derechercher etlesprogrammes de traces fichiers surd’autres lanature installé desoutils Déterminer alors possibledemettrejo à la Déterminer faille exploitéepourpr etdesmachinesduréseau. durouteurjournalisation de d’entrée fichiers les avec nombre decorrélations uncertain permettra de celle-ci connaissance compromission La de la initiale. précise date la Déterminer Choixdesnomsde fichier . ce qui laisse penser qu’un penser laisse cequi who nc ro (ect orl rnfr éeu: réseau pour letransfert (netcat) ou ,noexec ifconfig w . , nodev nodev ur le service correspondant. ur leservice indique que l’interface réseau estenmode l’interface indique que opback) le système de fichiers concerné. fichiers de lesystème opback) fich-hda1 /root/ fich-hda1 tre système à l’aide descommandes àl’aide tre système ème ; le pirate n’est lepirate ; pasdétectablepar ème able que la machine attaquante able soit que lamachineattaquante endre sera lecontrôle duIl système. connexions dupirate sont connexions chiffrées. ion a réussi, savoir si les mots de mots les si savoir ion aréussi, sniffer s par le pirate eten identifier les s parlepirate réseau a été installé sur la sur installé réseauaété tamalo1-hda1 plutôt que dd 3 tamalo.com:99999 tamalo.com l’analysefonctionnement du deFTPactif. 7pour veurs, comme on le verra au chapitre fonctionnement decertaines applications ser- Cette commande est trèsutile pour analyser le B host2 host1 host1 Tout 99999 messageenvoyésurl’entréestandard host1.tamalo.com nc 99999 Le client estlancé surla machine -p -l nc 99999 host1.tamalo.com Le serveur estlancé sur la machine tion client/serveur. permet deréaliser très simplement une applica- Le logiciel netcat, fournien standardavecLinux, nc La présencede Server Cache Daemon).honorable(le Name confusion est délibéré de la partdu pirate. Notonspiratée ! machine quelerisquede est nscd A TTENTION http://netcat.sourceforge.net écoute sur leport10101 sur écoute est aussi lenom d’un démon toutàfait ae acmad : avec la commande – c’est-à-direà l’écran de – apparaîtra sur la sortie standard – c’est-à-diresaisi au clavier de

client/serveur avec netcat nscd du client du du du serveur OUTILS pour seconnecter sur nscd Application Application ae acmad : commande avec la pour écouter sur le port n’impliqueque la pas nc qui s’exécute sur quis’exécute nc qui tourne sur host2 host1. host2. . 29

3 – Attaques et compromissions des machines Les Cahiers de l’Admin – Sécuriser un réseau Linux de plus en plus évolués. plus en plus de ment valide car lesattaquants disposent d’outils démarche derecherchen’estéternelle- Aucune 30 B ON

SENS

date de création du fichier du decréation fichier date temporels. Pourintroduitde il lanotion cela, TCTdémarche appuie sa derecherch lepirate. dentes laisséespar etretrouver moinsévi- traces certaines pouraffinernotre analyse l’utiliser allonsnous unemachinecompromise.Dans cequisuit, mants pouranalyser compromise. machine TCT fournit des outils très perfor- d’une l’analyse peut-être altérée facilement par le pirate à l’aide de la commande de àl’aide peut-être altéréefacilement parlepirate sont des points d’entrée verslespériphériques. sont despointsd’entrée commandes sur la machine compromise, on utilisera l’option l’option utilisera compromise, on machine la sur commandes compromis.sur lesystème po Deplus, on pourra ajouter l’option l’option ajouter on pourra trois attributs d’un fichier peut fourni d’un trois attributs nyme de Modification Access Creation. En effet, la connaissance de ces d’une simple commande simple d’une à l’aide piratage, rechercher du de convientfichiers crééslejour aussi les Il Étude desfichiers crééslors dupiratage Linux,il faut s’intéresserSous aux : modifiés parles pirates,afinde souvent très des fichiersdedémarrage, l’étude simple estdecommencerpar plus machinepiratée,le d’une du disque Pour l’image sur lestraces déceler Étude desfichiers de démarrage etconfiguration l’option peut êtreIl utiled’utiliser The Coroner Toolkit Coroner The Analyse avec TheCoroner toolkit que sur la date de modification • • • • • • • • • relancer un certain nombre relancerde uncertain proces • ; delamachine deredémarrage encas traces certaines masquer • /etc/cron.daily /etc/crontab /etc/inetd.conf /etc/rc.d/ /etc/sysconfig/ /etc/rc.sysinit /etc/init.d/ /etc/inittab chaque redémarrage dusystème. , ou TCT est une panoplie d’outils forensiquesdestinés à TCTou , estunepanoplied’outils , ou /etc/cron.hourly

/etc/xinetd.conf find nodev CTIME . Il faut préférerrechercheune la . Il baséesur pour ignorer les fichiers de type detype ignorer pour lesfichiers , quin’est modifiée que par lenoyau, plutôt MTIME ro ihese u éetie uvns: suivants aux répertoires et fichiers (read only) (readpournepasaltérer only) lestraces r des informations décisives surl’acti- e sur le recoupementle e surdesévénements . En effet, la date de modification ur éviter d’exécuter parerreur des ur éviter d’exécuter … sus : backdoor, scanner, sniffer,à backdoor, scanner, : sus et MAC time /etc/xinetd.d/ © Groupe Eyrolles, 2005 , MACl’acro- étant noexec device touch . Enfin, . , qui Notez la présence des attributs Notez présencedesattributs la ! une lecture attentivedeladocumentation de SSHD (nuln’est parfait) déroul le clairement assez voit On du pirate pendant la configurationdu rootkit t0rn (voir section suivante). 3-2 montre lesrépercussions de de fichiers l’activité sur lesystème La figure TCT, chronologiquedesmodi liste la Il est possible decompléter le Il vivant. connexions et lescessus réseauactivessurunsystème les même commande également capture etrenseigne defichiers laba système des informations sur lesfichiers détermination del’ détermination © Groupe Eyrolles, 2005 Eyrolles, © Groupe Par àunesimplecommande vité dupirate. rapport permet étésauvegardéparunecopiedespartitions,commele fichiers doitavoir tème standards.Pour quecette déterm sortie de sortie boîte à outils outils à boîte altérerait l’ altérerait La commande commande La effacés marqués code source d’un exploit. exploit. code sourced’un lefo analyser fichier effacéafind’en Danscertains casau contraire, on pourra être très motivépour récupérer ses programmes sources. d’effacer un nes’estpasdonné lapeine lepirate utilité grande car ne sont pasd’une La commande commande La : dessous n’en rejette donc aucun. donc rejette n’en on 1/1/1971, au postérieurs événements les tous considérés Sont groupes de fichier du chemin le indique -g d’utilisateurs noms les résoudre pour utilisé passwd fichier du chemin le -p indique mactime-tamalo1.out > 1/1/1971 host_compromis_hda1/etc/group –g / –p/host_compromis_hda1/etc/passwd mactime root/tct-1.15/data/tamalo1_01_23_17\:36\:37+0100/body / >> fich-hda1 /host_compromis_hda1 –m –r linux-ext2 –f fls TCT. de données de base la contient body /root/tct-1.15/data/tamalo1_01_23_17\:36\:37+0100/ Le fichier -i –m LINUX2 –o /host_compromis_hda1 –c grave-robber dd fls , et non par une commande d’archivage ou de copie de fichiers qui fichiers ou decopie et nonparunecommanded’archivage , access time pour compléterlabasededo sleuthkit grave-robber mactime (deleted) access time . . Les formats étantcompatibles, il suffit de la . Les rediriger ci-dessous génère, à partir de la base de données de dedonnées de labase génère, ci-dessous à partir . Dans ce cas précis,lesréférences àcesfichiers . Danscecas qui estimpossible enpassantparlesappelssys- capture lesinformations s informations fournies par par fournies s informations m effacés,grâce à la commande , a ement des opérations, qui ement desopérations, commence par , nctionnement, s’il s’agit par exempledu s’il s’agitpar nctionnement, se de données deTCT.se de Notez quecette c fications du defications système fichiers. , ainsi que des référencesainsi quedes , àdesfichiers ination soit de possible, lesystème nnées deTCT commeindiqué ci- informations concernant lespro- concernant informations utiles dans l’image du utilesdansl’image find grave-robber , TCT ajoutela fls issue de la avec a amre iteVenema, Farmer et Wietse Dan lyse forensique, le livre (en anglais) de Pour ceuxqui veulent ensavoirplus sur l’ana- l’adresse Les outils du Coroner toolkit sont disponibles à ment sur ce ment surce même site. Discovery R http://www.porcupine.org/forensics/ ÉFÉRENCE , est disponible en libretélécharge-

The Coroner Toolkit Forensic 31

3 – Attaques et compromissions des machines Les Cahiers de l’Admin – Sécuriser un réseau Linux 32 Fichiers lus et modifiés par le pirate au Fichiers lepirate modifiéspar et lus visualisation à partir de son inode deson partir à visualisation moment de la compromission dela moment Recherche d’un et d’un fichier Recherche Figure 3–3 Figure 3–2 incrémente linéairement les Pour pération. d’exploitation le système le faitque cela, on sur s’appuiera méthode etle queTCTla Sachez fournit or om emnr afgr 3-3. montre lafigure commele toire inodes des fichiers créés dans un même réper- créésdansunmême desfichiers s outils nécessaires à une telle récu- telle s outilsnécessairesune à © Groupe Eyrolles, 2005 frées. frées. non desapplications chif- lié àl’utilisation lerisque évidence en met Linux. Il dansunesessionFTP.cation exempl Cet paq de 3-6 retraceéchanges les figure La Ethereal etdsniffqui sontà installer. faciles Notonsle réseau. sur aussi d’écouter estfacile il combien tent deconstater Des logicielstelsquetcpdump,disponib envoyé sur leréseau. chiffrement aucunde en général dumot comme TELNET, sonscouramment, FTP, HTTP, IMAPou n’effectuent en clair.passe quitransitent fautsa Il programme quiécoute le réseau dans le © Groupe Eyrolles, 2005 Eyrolles, © Groupe L’exécutable Sniffer réseaud’unrootkit /usr/src/.puta de avons trouvé nous notre machine, Sur ladéfinition. prévuespar tionnalités dusc du genre. Àl’exception classique Dans notre exemple, s’agitd’un le rootkit Il aétéinstallé t0rn par lepirate. : pour desoutils fournit panoplie Cette panoplie de commeune Agency) Security nati Un rootkit estdéfiniparl’Agence :lerootkit t0rn Trousse àoutils du pirate dufichier lecontenu voir possibledele ilsera été réaffectés, n’ont manquant parlefichier occupés blocs les Si pas du inodes répertoire. paruntrou danslaséquencedes caractérisé perdu. effacésera Un fichier toujours présents surledisque, créés exploit,on rechercheraAinsi pourrécupérer lecodesource d’un des fichiers, commande commande dissimuler estcompromis. quelesystème • collecter sur le réseau • ; danslesystème dérobées(backdoors) desportes créer • ; depasse mots réseauetles letrafic capturer • 2 1 filter Sélectionner le menu ducompte EtherealLancer àpartir (orfgr 3-4). (voirfigure icat /usr/src/.puta/t0rnp fournie par TCT. par fournie et /usr/info/.t0rn capture start capture des informationssurd’autr scan.c vsaie.L iue3-3 montre comment visualiser. Lafigure dont l’inode est 151 680, à l’aide de la 680, àl’aide est151 dont l’inode immédiatement avantetaprèsfichier le immédiatement voir que les applications que nous utili- nous que voir quelesapplications est un sniffer réseau, c’est-à-dire un c’est-à-dire réseau, estunsniffer . et indiquer onale de sécurité américaine (National américaine desécurité onale anner, implémente il but de récolter les éventuels mots de récolter leséventuelsmots de but root uets au cours de la phase d’authentifi- dela uets aucours xrprorsuiié a erokt: ux répertoires utilisés par le rootkit les en standard sousLinux,permeten les passe au moment où ce dernier est e est facile àreproduireest e avec unPC logicielsutiliséspardespirates. . otftp port sssèe (cne); (scanner) es systèmes dans la rubrique la dans touteslesfonc- B B B des applications client/serveur. importante pour comprendre le fonctionnement constitueutilisationtrès simple et est uneaide grands servicesaux administrateurs réseau.Leur Ces performants outils d’analyse rendentde cdm : http: tcpdump http://www.ethereal.com : ethereal : dsniff http://monkey.org/~dugsong/dsniff/ O UTILS

dsniff, Ethereal ettcpdump //www.tcpdump.org 33

3 – Attaques et compromissions des machines Les Cahiers de l’Admin – Sécuriser un réseau Linux laquelleposée.la sonde est qui circulela sur couche detransportsur du trafic l’ensemble permetd’analyser second identification/mot de passe, tandis que le : descouples d’extraire but écrit dansl’unique que lepremierest réseauoutil d’analyse est de Une différence essentielle entre etun sniffer un 34 O UTILS

Sniffer et analyse réseau Lancement deEthereal Lancement Figure 3–4 Ainsi, le paquet numéro 13 contient le nom de l’utilisateur nom del’utilisateur contient le 13 Ainsi, lepaquetnuméro montresur le réseau. 3-6 les informations que circulent enclair figure La egesrsnmtd as : seigne surson motdepasse tandis connexion, la avonsécouté nous 3 rfccrepnat om niu afgr 3-5. figure àla correspondant, commeindiqué trafic le quelconque pouranalyser vers unserveur uneconnexion FTP Ouvrir correspondantau protocole FTP. que lespaquets écouteleréseau en neconservant Ethereal estdémarré. Il Figure 3–5 u1arpl7 Ouverture d’une connexion FTP d’uneconnexion Ouverture ! que le paquet numéro 17 nous ren- 17 le paquetnuméro que © Groupe Eyrolles, 2005 bernard , dont © Groupe Eyrolles, 2005 Eyrolles, © Groupe référence aumodèleOSI. Pour comprendreLe modepromiscuous ce qu’est le mode promiscuous,(compte celanécessiteunaccèsprivilégié général, il Unix mode en unemachineLinux, etsur les promiscuous.systèmes Sur est nécessaireAfind’écouter sur le réseau, lepirate de faire Ethernet 100BASE Ethernet T Couche Application Transport/Réseau Couche liaison/ Client http physique Couche TCP/IP Figure 3–7 Figure 3–6 @MAC DST ntt Ethernet En-tête Modèle OSI : encapsulation desmessages encapsulation : Modèle OSI Écoute d’une session FTPavecEthereal d’une Écoute session @MAC SRC doit faire passer la carte Ethernet en Ethernet doit faire passer la carte @IP SRC @IP SRC En-tête IP root @IP DST @IP DST ). En-tête TCP TCP port 80 TCP port 80 TCP port Message Message Message 35

3 – Attaques et compromissions des machines Les Cahiers de l’Admin – Sécuriser un réseau Linux doit gardertrame lanon. ou carte Ethernet de déterminer tout de suite si elle latrame, de début au àla placée permet qui ce que MACl’adresse Notez est dedestination sieurs interfaces. pouvant plu- avoir même machine MAC – une Ethernet ne peuvent pas avoir la mêmeadresse tuent un numéro desérie. Deux interfaces fournisseur tandis que les trois autres consti- Les trois premiersoctets constituent le champ 06:60:B0:59:DE:B3 : octets chacun champs de 3 constituée de 2 adresseUne MAC (MediaAccess Control)est 36 R APPEL

Adresse MAC ont pu être sniffées sont de ont puêtre sniffées sont tamalo.com.it Sur le système compromis, lefichier lesystème Sur de faire le tri. noyauchargera au qui se transmettreles trames geant cettedernière à toutes remédie Ethernet àce problèmeen modepromiscuous de en la carte obli- duréseau,quelles d’écoute mécanismes trame. pascomptede la Cela ne des fait pas netient l’affaire il contraire, supérieures implémentées da aux couches billée de son et en-tête Ethernet le pa les Si l’interface. celle de avec trame MA effectuée en l’adresse comparant estdestinée ounonàlama Ethernet Une fonction des couches ba importante dans lenoyauelles implémentées Linux. de etsuivantes,sontquant à couches 3 supérieures, Les Ethernet. de la carte microcode le dans implémentées généralement sont Cescouches nection). Intercon- 2(liaison)du modèle OSI (OpenSystems 1 (physique) et couches parlesco est traitée machine. Elle d’une àdestination arrivant 3-7montreEthernet une trame figure La à Tamalo.com, surlesmachines le mo et l’identifiant a capturé sniffer frauduleuse. del’écoute lors sniffer ont »qui étéenregistrés parle passe de –mot nom compte de « couples , comme le montre la figure3-8. Les deux connexions qui Figure 3–8 s sessions FTP non chiffrées. s sessions FTP Fichier réseau dusniffer sortie de dial025.mon-fai.com adresses coïncident, estdésha- la trame t de passe de deux comptes appartenant t depassedeux L’examen montre quele decefichier quet est reconstitué pour êtrequet estreconstituépour transmis chine considérée. Cette opération est chine considérée.Cetteopération /usr/src/.puta/system ce assd ioersa :les uches bassesdupiloteréseau C dedestination contenuedansla qu’en mise soientlesmotivations.La ns lenoyau cas Dans le deLinux. sses est de vérifier silatrame sses estde vérifier © Groupe Eyrolles, 2005 et www.diffusion- contient les contient l’intermédiaire d’un processusappelé d’un l’intermédiaire par enregistrer pour conçus généralement de Linuxsont lesservices En effet, est d’e rôle (logs).Son journalisation l’utilisateur de la machineparlescommandes l’utilisateur Le fichier d’informations. riches nousdisposonsdeslogsdurouteur Si étaitprob indiqueque lepirate nous donnée pendant unepériode totale delogs machine. Parl’absence exemple, rootkit, fournira des informations dela précieusesàl’administrateur des fichiers de log, même nettoyés par le l’observation cas, Dans certains évolués. pression lapériod des lignesconcernant la mise à zéro pure et simple du fichier, pour les rootkits primitifs, et la sup- de outils nettoyage dessontLes logs departir laquelle il nous a attaqu machine à la de quel’adresse afin d’éviter qui leconcernent raîtreles traces © Groupe Eyrolles, 2005 Eyrolles, © Groupe programme Le effacerlestraces : etma Rootkit : mesuresêtre doiventmisesenplacesansdélai Quelques Action nexion SSH depuis la machineCette lignede logestproduite parle dont l’adresse IP est importants du point de vue de la sécurité sont machine machine log/secure syslogd.conf dans des fichiers journaux, configurésdans desfichiersjournaux, aucontenu grâce dufichier Un autre type de trace est enregistré dans le fichier est enregistrédanslefichier detrace Un autretype mande est cesconnexionspossible devisualiser Il avec machine considérée. la com- binaire sousforme fichier stocke situés dans le répertoire situés danslerépertoire 3 2 1 ment pourseprotégerle réseau. des écoutes sur L’installation client/s d’applications des conn tants afindesavoirsi detouteslesconnexionssurdessitesdis- del’historique vérification La teurs duréseau. utilisa- detousles des etexterne changement motsdepasseinterne Le last gw /usr/src/.puta/.1file . L’heure. delaconnexionetl’utilisateur, . . Le rootkit fournit donc au pirate des outils pourfairedispa- desoutils donc aupirate fournit rootkit . Le (ou /usr/src/.puta/t0rnsb /etc/syslog-ng/ /var/log és n’apparaisse dansfichiers. ces exions frauduleuses ont eulieu. exions frauduleuses ont . Parfichiers lesplus défaut,lesdeux une trace de chaque connexion sur la dechaqueconnexion trace une contient la liste des fichiers cachés à ffacer les traces de passage du pirate. ffacer lestracesdepassage ablement connectépendantcecréneau. plus ou moinsévolués,sesituantentreplus ). Le plussouvent,cesfichierssont ). Le syslogd squer laprésencedupirate serveur sshd. Elle indique unecon- serveur d’entrée pour cette période, ils serontpour ils cettepériode, d’entrée erveur mettant en œuvre duchiffre- erveur e de présence du pirate pour lesplus dupirate e deprésence estunnettoyeur defichiers un certain nombre detraces uncertain /var/log/messages ls et root find 192.168.40.176 /var/log/wtmp , sont précisés. modifiées. Il con- modifiées.Il et sur la sur /var/ /etc/ . Ce menter la libC. (fichiers…) silepirate estalléjusqu’àinstru- du piratageencourstout cequirelève »dynamiqu linkés sont « grammes, même développés localement, s’ils fautIlcomprendre bien quetous lespro- ssh2 1034 port 192.168.40.176 from for root password Accepted sshd[14168]: gw 17:21:26 12 Jan Exemple delog À RETENIR ement, dissimuleront

3 – Attaques et compromissions des machines Les Cahiers de l’Admin – Sécuriser un réseau Linux cielles ou comme portes dérobées. donne une listedesutilisations desports, offi- ment un plus fainéants queles autres, effectuent directe- lisés comme portes dérobées. Certains pirates, uti- être pour connus sont ports De nombreux celuisait l’employer. qui ménageaccèsun privilégié, et direct discret à unUne programmedérobée est porte qui Le site une une 38 backdoor R APPEL scan

http://ports.tantalo.net/index.php Porte dérobée (backdoor) decesportsespérant ytrouver ovrepru ur ! ouverte parun autre En cas de redémarragede ce« dusystème, cas En Le fichier Le fichier des rootkits possédant un fichier de unfichier possédant rootkits des chiffrementleurs propresde fichiersde Pourévolués fournissentparfoisdes outilsdedes rootkits plus raison, cette attaqués. nous a machine qui IP de la l’adresse noussommesàmêmededéterminer teurs d’entrée, exemple, enrecoupantd’adre lesplages fichiers de configuration de ce dernie à l’utilisateur de la machine par par la commande delamachine à l’utilisateur tendument l’utilisateur dela parla machine commande l’utilisateur écoute sur le port 15 000. Le démon 000. Le 15 écoute sur leport dérobée det0rn,laporte cas Dans le dutemps. la plupart 024 1 à supérieur choix, son de port sur un qui écoute dérobée uneporte d’ouvrir pirate au généralement permettent rootkits Les laportedérobée : (backdoor) Rootkit .t0rn répertoires :les lui-même durootkit fichiers les enparticulier tient Une analyse rapide du rapide rootkit Une analyse conclusion : t0rn Rootkit Le fichier netrahissepaslenom ce fichier de asl it,aniqel ot éoé : dérobée dans laliste, ainsiquelaporte Le processus Le par le rootkit et qui n’apparaîtront et lerootkit par dansleslogs. pas .puta/.1proc rc.sysinit info/.t0rn Les fichiers deconfigurationLes sont dans lerépertoire dece service ! réseau même sniffé parsespropres outilsoupartoutautre outild’analyse lui- évite d’être ce quilui est chiffrée, Notezque laconnexionl’attaquant de début de l’adresse est donné donné ( est del’adresse début • • • éoveq’letlnésrl ot1 000. 15 le port sur lancé qu’ilest découvre /usr/info/.t0rn/shdcf /usr/info/.t0rn/shhk /usr/info/.t0rn/shhk.pub , lesfichiers /usr/src/.puta/.1addr /usr/src/.puta/.1logz /usr/src/.puta/.1proc Name Server CacheName Daemon Server . : nscd . .1file est caché à l’exécution de à l’exécution est caché , .1addr contient la clé privée du serveur sshd. duserveur privée contient laclé est le fichier de configuration de sshd. deconfiguration On y est lefichier 192.168 contient la clé publique du serveur sshd. publiqueduserveur contientlaclé t0rn ... contient le début des adressesdébut desIPcachées contientle de la machine originaire del’attaque. originaire de lamachine contientliste desadressesIP filtrées la contientlalistedes processusà cachés ofgrto nqecifépru ou configuration uniquechiffré parun « montre combien la découverte des découverte la montre combien est constituée un par ssh par par exemple) pour que la découverte r peut être précieuse pour nous. Par ). sses IP cachées avec les logs des rou- avecleslogsdes sses IPcachées configuration. Il existe par existepar exemple configuration. Il nscd nscd est appelé appelé est ps . » estrelancé par lescript ps modifiée. Le sniffer t0rnp t0rnp est sniffer modifiée. Le grâce au fichier au fichier grâce netstat © Groupe Eyrolles, 2005 /usr/sbin/nscd modifiée. Seul le modifiée.Seul serveur sshd qui serveur /usr/src/ .puta /etc/ /usr/ (pré- et Cet argument est passé est passé par argument Cet par le service service le par caractères caractères © Groupe Eyrolles, 2005 Eyrolles, © Groupe l’attaq évidence lesdeuxétapesde L’analyse logs surla delacopiedes deux phases : uneattaqueen logretrouvéeCopie de collecte surlamachinede veur. aider àretrouvernousétés effacésparlerootkit sur leslogsquiont notre ser- de collecte n’offrant àl’extérieur. Cette va aucunautrecentralisation service centralisation des logsdesmachinesLinuxversunemachine systématique nousavions Depuis quelques semaines, Détecter lacompromission àpartirdeslogs compromise. machine d’une complète réinstallation la de ni fichiers tème de sys- du du reformatage cas enaucun ne dispense connu bien fonctionnement Encore unefois,lefaitquedenombr de chiffrement decesfichiersnetard fichiers constituemotive undéfiqui 255.H » de chaque octet avec exclusif mettre. Un format inattendu contenant un appel à pour déterminer le fo reçu parle service importante de l’argument fourni à tion tion d’impression d’impression avons étéla que nous apparaît Il résultat duscan. quilance automati utilisé unscript a 30),cequisupposequelepirate (1minute extrêmement rapide est l’exploit estexploitéesur Tamalo1.cette faille L’enchaînement et entre lescan machines quiprésentent une faille. de notre réseausu horizontal un scan Í??Ã1É²??ÐÍ??ÐAÍ?ë^X^?u^H1À^F^G?E^L°^K?ó?M^H?U^LÍ?èãÿÿÿ ??????????????1Û1É1À°FÍ??å1Ò²f?Ð1É?ËC?]øC?]ôK?Mü?MôÍ?1É?EôCf?]ìfÇEî^O'?Mð?Eì?EøÆEü^P?Ð?MôÍ??ÐCCÍ??ÐC ???????????????????????????????????????????????????????????????????????????????????????????????????? 00000000000006?????????????????????????????????????????????????????????????????????????????????????? 0000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000 00001073835088security000000000000000000000000000000000000000000000000000000000000000000000000000000 0000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000480000000 'BBÜóÿ¿Ýóÿ¿Þóÿ¿ßóÿ¿XXXXXXXXXXXXXXXXXX000000000000000000000000000000000000000000000000000000000000000 Dispatch_input: SERVER[2320]: Tamalo1 19:03:55 26 Dec 1627 192.168.20.29 from printer[5227] inetd[175]: Tamalo2 19:02:22 26 Dec 1623 192.168.20.29 from printer[5336] inetd[158]: Tamalo1 19:02:22 26 Dec use_syslog() /bin/sh lprng lprng à l’intérieur de cet argument. argument. de cet àl’intérieur et enèepéet n ale:elleutilisel’argument . Cette dernière présente une faille autorisant le pirate à exécuter le code de son choix. code deson le àexécuter pirate le autorisant . Remarquez danslalignede log la précédente taille lprng ue. Dansun premier temps,à 19:02:22 au lpr Dans un deuxième temps, Dans undeuxième à 19:03:55temps, machine de collecte met clairement en metclairement decollecte machine e jamaisàêtre Internet. sur diffusé de nombreux l’algorithme amateurs, et syslogd epr ’mrsin515 identifieles d’impression le port r victime d’une attaque sur le service attaquesurle victime d’une quement l’opération enfonction du quement l’opération rmat de la chaîne de caractères àtrans- decaractères chaîne de la rmat , ainsiquelaprésencedechaîne eux rootkits soient identifiés et leur misenplacechezTamalo.com une eureusement, le décryptage de ces de eureusement, ledécryptage par l’intermédiaire de la fonc- la de l’intermédiaire par /bin/sh sera donc sera exécuté line request bad /bin/sh ᕢ ᕡ ' , , ᕢ ᕡ 39

3 – Attaques et compromissions des machines Les Cahiers de l’Admin – Sécuriser un réseau Linux moment del’incident. que l’environnementco connaîtredu plantage,de l’endroitexact ainsi cessus au moment du problème. du moment au cessus fichier Un mémoire occupéela parlepro- de une image la mémoire nelui appartenant pas. Cefichier est interdite,par exempleaccéder àune portion de processus tentant de commettreune action interrompt sans sommation le déroulement d’un core fichier Un 40 peutêtreouvert avecun débogueur afin core B.A.-BA B.A.-BA estcréé lorsquele noyauLinux Fichier core mplet du programme au programme du mplet Avis lavulnérabilité desécuritéRedHat sur du servicelprng d’impression Cette vulnérabilité duservice fichier pour déposer qu pirate par le utilisé ilnousaattaqués.Dans le répertoire delaquelle machine àpartir Une donnera négligencedupirate de Origine del’attaque Une simple commande commande simple Une ronnement completdanslequeltravaillait chaînes de caractères contenues dansla parvenu quelques tempsauparavant. parvenu ment dansdécrite un avis de sécurité both locally and and remotely. locally both exploitable theoretically is vulnerability The computer. the to access root gaining thus specifiers, format unexpected with execution daemon's print the corrupt to possible is It string. format the as function syslog() the to passed is that string a in input user returns function This function. use_syslog the in bug format string a has LPRng description: Problem 3. i386 - 7.0 Linux Hat Red releases/architectures: Relevant 2. compromise. toroot lead could which function use_syslog the in bug format string a has LPRng Topic: 1. ------N/A references: Cross syslog lpr printing lpd security LPRng Keywords: Linux Hat Red Product: on: 2000-10-04 Updated 2000-09-26 date: Issue RHSA-2000:065-04 ID: Advisory bug format string a critical contains LPRng Synopsis: ry Adviso Security Inc. Hat, Red ------core . strings appliquée à ce fichier extrait l’ensemble des l’ensemble extrait appliquéeàcefichier elques outils,nous avons un découvert de la société Red Hat quinous Hat était de lasociétéRed façon non ambiguë l’adresse dela l’adresse nonambiguë façon mémoire. Elle nous dévoilel’envi- l iaea oetd ’niet! l’incident de moment au pirate le lprng de Linux était parfaite- deLinuxétait © Groupe Eyrolles, 2005 /dev/ptyi l’adresse l’adresse noustentons uneprot En parallèle, son à homologue. récriminations France, notre CERT decontacter décidons nous nos qu’il transmette afin L’organisation de quigère l’adresse l’attaque. nique indiqué dans la ba la nique indiquédans © Groupe Eyrolles, 2005 Eyrolles, © Groupe variable La Chaînes decaractères extraitesdu fichiercore Une interrogation des bases serveur,dérobée. cequicorrespond àlaporte l’adresse IP est IP l’adresse OSTYPE=linux MACHTYPE=i386 OSTYPE=linux VENDOR=intel HOSTTYPE=i386-linux TERM=xterm SSH_TTY=/dev/pts/2 15000 1029 SSH_CLIENT=192.168.16.58 SHELL=/bin/tcsh MAIL=/var/spool/mail/root PATH=/usr/sbin:/sbin:/usr/bin:/bin:/usr/X11R6/bin LOGNAME=root USER=root HOME=/root abuse SSH CLIENT SSH du réseau source de l’attaque, ainsi qu’avec le contact tech- qu’avec contact le ainsi l’attaque, sourcede duréseau 192.168.16.58 Figure 3–9 indique très clairement quelamachine indiquedonttrès clairement se whois. Nous obtenons trèsrapidementune whois éatcnetesrl ot1 000denotre 15 port étaitconnectéele sur e ae hi :Ripe whois Les bases détermine rapidement la provenance de notre pirate n’étantnotre pirate en localisée pas estation par courri par estation er électronique à 3 site Web. Elles peuvent être interrogées à partir de leur ARIN pourAPNIC pour lesÉtats-Unis l’Asie. et nombre de trois, RIPE pour l’Europe et l’Afrique, tacter encasdeproblème.au Cesbases sont adresses attribuées et de la personne à con- coordonnées du responsable fonctionnel des affectéété undomaineIP. Ellesfournissentles organisme a Les baseswhoisdéterminentàquel B B B été remplacéspar de l’adressesourcel’attaqueont miers octets Pour pre- deux les deconfidentialité, des raisons http://www.apnic.net/ http://www.ripe.net/perl/whois http://www.arin.net/whois/index.html O RGANISMES 192.168 Les bases Whois . 41

3 – Attaques et compromissions des machines Les Cahiers de l’Admin – Sécuriser un réseau Linux nom.de.domaine nommé domaine est recommandéIl à l’administrateur d’un B tantes. B attaques prennent desproportions trèsimpor- sentmessages d’alertelorsquecertaines pardes de sécurité àleurs correspondants etles avertis- donner lieu àuneattaque. desavis Ilsdiffusent pouvantfailles deslogiciels par rapportaux Les CERTeffectuent une veilletechnologique courants. et lesincidentsdesécuritélesfailles nouvelles Les CERT échangent ainsi desinformations sur (Forum of Incident Response and Security Team). entrelebiais d’un euxpar forum appeléFIRST niveauAu mondial, lesCERT sonten relation ciaires. travailler enrelation aveclesautorités judi- pres. Danscertaines affaires, les CERT peuvent et humainspro- dispose demoyenstechniques communauté université-recherche. Chaque CERT Le plusancienestle CERT Renater.Il concerne la communauté donnée.France, En ilyenaquatre. les problèmes de sécurité informatique pour une UnCERT estuneorganisationqui travaille sur ( l’adresse abuse électronique correspondante de son de son domaine. informé encasdeproblèmeavec des machines exemple, c’est grâce à cette adresse qu’il sera l’administrateur du réseau concerné. Par L’adresse abuse s’avèreégalement utilepour simple courrier électronique. l’administrateurdudit domaine l’envoi d’un par portement anormal d’une des machines de desmachines d’une anormal portement Une personne qui aurait àseplaindre d’un comla sienne.rigée vers [email protected] Computer Emergency Resource Team 42 http://www.certa.ssi.gouv.fr http://www.cert.org C ONVENTION O RGANISMES nom.de.domaine

L’adresse abuse pourrait ainsi le signaler à

LsCR : LesCERT ) qui est redi- decréer vulnérables par la mise enplace depa œuvreen duchiffrement interdire pour l’ : lerecours àdesapplications mettant client/serveur leschapitres qui suivent Pourse protégercontre cesattaques, se protège pardenombreux rebonds. gine de l’attaque, mais rarement de remonter jusqu’au pirate qui, en général, failles. mêmes machines présententles sid’autres été pénétréet le réseaua comment révèle Elle lepirate. par L’analysecompromise machine fait d’une unautre réseau. scannent ou enfin rent lesmots de passe circulant sur le leurprésence, captu- quicachent d’outils utilisentdespanoplies pirates Les »,scan exploit « d’un vice, publication : reproductible estassez scénario Leur informatiques attaquesdessystèmes Les En résumé… quant qu’il que venaitde sa découvrir réponse ànotre courrier, l’administrateur machine était également compromise. machineétaitégalement re-feu etlasegmentationduréseau. deux types d’actions seront dans décrits d’actions deux types réseau, installent des portes dérobées réseau, installent desportes réseau et tentative de compromission.réseau et Elle permetsouvent découverte d’une faille dans un faille ser- d’une découverte de la machine concernée nousindi- delamachineconcernée écoute réseau,lefiltrage des services apparaître lesoutilsmis enœuvre sont deplus en plus automatisées. © Groupe Eyrolles, 2005 d’identifier l’ori- d’identifier

chapitre 4

Secret !!! Secret !!! Chiffrement

U e s s u u r e p l a u t d i u o r a n f d ’ e i t d u e o n c t i E t é

SOMMAIRE B Utilisation du chiffrement B Principe du chiffrement Pour limiter la portée des écoutes et garantir l’identité des B Confidentialité et machines qui communiquent entre elles, il est nécessire authentification d’utiliser des solutions de chiffrement. B Le protocole SSL (Secure Socket Layer) B Communication sécurisée avec SSH (Secure Shell)

MOTS-CLÉS B Chiffrement symétrique et asymétrique B Confidentialité B Authentification B Signature électronique B Infrastructure à gestion de clés B Secure Socket Layer (SSL) B Secure Shell (SSH) B Réseau privé virtuel (RPV) B Virtual Private Network (VPN)

© Groupe Eyrolles, 2005 Les Cahiers de l’Admin – Sécuriser un réseau Linux • mot de passe) sans devoir l’expédier.mot depasse)sansdevoir qu’il détient une inform laquelle un programme peut prouver à un autre œuvreUn unedonnéegrâce défimeten à • liserons au cours de cet ouvrage. Voici les conventions et les termes que nous uti- • V 46 OCABULAIRE des piratesou des cryptanalystes. la clé. Cette opération estengénéral l’œuvre clair d’un message chiffré sans en connaître message clair en utilisant la clé. transformation d’un message chiffré enun dispose du code ou dela ou code clé. du dispose codé compréhensible seulementpar celuiqui un message en clair données) message (de Décrypter Déchiffrer Chiffrer

ou coder estlatransformation d’un Chiffrer, déchif T , consisteà extraire letexteen ou décoder est l’opération de Défi (challenge) ation (parexempleun frer, décrypter un shell distant de façon chiffrée. un shelldistantde session TCP, ainsi quele et Layer) Socket bibliothèque SSL(Secure la de fonctionnement de Nousmunications. lesprincipes aborderons informaticiens les retenuestions par Nous étudierons aucoursdecechapitre en exploiter pourrebondir desystème réseau etles le sur en clair passe quitransitentde les mots que tels sensibles dontilaura lecontrôle. pris pourra ainsi Il capturercertaines informations est lapremièreréseau action quele d’un mot de passe permanent mais sur un « défi » ( » défi « mais surun permanent motdepasse d’un d’authentification techniques des duit un publiquedécrit chiffrementclé à Le pour l’authentification diminue pour l’authentification chiffrement desmotsde passe ou des informationsLe sensibles nécessaires ceux-ci sontlégion. suffit machine connectéeréseau. Il au n’importetermes, quipeutespionner son End’autres demachine. d’identité etàl’usurpation frauduleuse l’écoute les réseauxsontsensiblesréseau. Hélas, à confiance dansl’infrastructure protocoles de communication qui reposent aujourd’hui pour la plupart sur la une chiffrement réponseau apporte Le Authentification Les quatre objectifsduchiffrement L’écouteréseau etdesprotocolesquil’animent. frauduleuse (le qui a compromis unemachinedeprofiter lors deleurmésaventureconstater (voir Tamalo.comComme del’entreprise lesadministrateurssystème ont pule donnée, d’un document ou d’un prog document oud’un donnée, d’un dechiffrementtechniques permetta Les Intégrité SSL et la mise en œuvre du produit de connexion sécurisée SSH. sécurisée œuvre duproduitconnexion SSL etlamiseen de av endétail plus abordé sera point Ce mutuellement.s’authentifier réseaupeuvent ainsi personnes physiques, lesmachinesouencore lesservices informations sensiblesLes ne déploiement de SSH (Secure Shell) pouraccéderà Shell) déploiement deSSH(Secure transitent alors plus en clair sur leréseau. Les transitentalorsplusenclair le risque lié à l’espionnage ( liéàl’espionnage le risque de Tamalo.comles com- pour sécuriser ramme, qu’aucuneramme, garantissent modifi- pirate entreprendra pirate sur unemachine ec la description du fonctionnement de système, voiresite. desiteen système, ne reposant plussur latransmission peu plusloindanscechapitre, intro- problème d’authentification dans les de posséder les outils adéquatset les de posséder lesbasesdu chiffrementsolu- etles nt la signaturent lade chapitre 3), il est très facile à facile celui 3),ilest très chapitre sesapplications pour chiffrer une voisin etsefaire passer pour une des faiblesses del’infrastructure faiblesses des challenge © Groupe Eyrolles, 2005 l’empreinte d’une l’empreinte ). sniff ) du réseau. sniff ) du © Groupe Eyrolles, 2005 Eyrolles, © Groupe : La fiabilitéduchiffrement trois reposesur éléments Facteurs defiabilitédes électronique polluée. desuffirait refuser anonymes lescourriers électroniquesriers non (SPA sollicités signature élec authentifiée descourriers l’identificati ments permet chiffrement utilisé dansle Le cadre Signature électronique fidentialité decelles-ciafinpr également pa de donnéesest autre type chiffrement detout duréseau.Le frauduleuse d’écoute minant lerisque en éli- depasse permet rendre plusd’authentification fiableslesmécanismes chiffrement de réseau. Le fiance au Dansun contexteinformatiq l’échange. écouter pu aurait qui nonlecturecontenu parunepersonne du autorisée la dedocuments, lechiffrement échange vapermettre d’interdire d’un Lors Confidentialité encore peurépandumais aujourd’hui mécanism obsolète.Ce devient virus di programme d’un etl’intégrité l’origine dans lad’intérêt lutte contre les virus n’acation par unetierce effectuée Cela personne. été présente beaucoup • la bonne gestion du secret, c’est-à-dire de la ou des clés dechiffrement. la bonne dela gestiondusecret,ou desclés c’est-à-dire • ique utilisé plutôt que lesecretde mathématique utiliséplutôt del’algorithme qualité la • gorithme. Il faut savoir que la Il plu- gorithme. del’al la qualité del’implémentation • sont connues, iln’y abienévid L’algorithme dutemp plupart étant la ; lui-même qu’à l’algorithme de ces algorithmes dechiffrementalgorithmes (rechercheces de de s’atta de destentatives piratage part ; celui-ci on formelle de leurs auteurs ou expéditeurs. Si la Si ou expéditeurs. deleursauteurs on formelle otéger l’outil de travail informatique. de travail otéger l’outil techniques dechiffrement emment plusaucunesécurité. sedéveloppedeplusenplus. données sensibles comme les mots de mots comme les donnéessensibles par exemple. S’ilestpossiblede garantir de la signature électronique dedocu- quent à l’implémentation quiest faite quent àl’implémentation e de est signature desprogrammes M) ne seraient plus un problème. Il unproblème. plus seraient ne M) rfois nécessairelacon- pourgarantir rfois troniques étaitgénéralisée, les cour- ue, iln’est paspossibledefaire con- ffusé, l’utilisation d’un logiciel anti- logiciel d’un l’utilisation ffusé, pour ne plus voir sa boîteàlettres pourneplusvoir s public, si la ou les clés utilisées clés la oules s public,si buffer overflow ) plutôt accueillir un rootkit. modifié defaçondangereuse,pour exemple par mais officiel apparemment ensemble d’un pas exposerl’administrateur audéploiement » afin dene signéset scellés chargés quisont « mentl’origine etl’intégrité despaquetages télé- intègrent deslogiquesvérifiant automatique- (APT, paquetages des mise àjour la Ils RPM…). maintenant desoutils facilitant l’installation et De nombreusesoffrentLinux distributions de Intégrité despaquetages 47

4 – Chiffrement des communications avec SSH et SSL Les Cahiers de l’Admin – Sécuriser un réseau Linux clé secrète partagéeavec Bill pour le déchiffrer. reçoit lemessage, ilneresteplusqu’à utiliser la estenvoyé àcettedernière. LorsqueMonica chiffré document Le Monica. aussi détient que cela, il chiffreundocumentavec uneclésecrète messagerie électronique.un systèmede Pour envoyer unmessage confidentiel àMonica via 4-1,Billsouhaite Dans l’exemple de la figure 48 symétrique et confidentialité et symétrique D ANS

PRATIQUE

Chiffrement nées. Expéditeuretdestin don- recouvrer de les quipermettra l’information partager doivent parties chiffr pour utiliseuneseuleclé trique Aussisous lenomdechiffremen connu Chiffrement symétrique connexions sécurisées. etlagestiondes taires etont chacunun rôledéterminédansl’établissement et chiffrementdu chiffrem symétrique dechiffrement sont aujourd’ Deux types asymétrique Algorithmes dechiffrement symétriqueet ment utilisés. Voici quelques exemples d’algorithme gérer.le nombre à avec declés eux. Cette contraintechacun d’entre depa nées avecsesinterlocuteurs, inconvénient estqu’ilnécessaire, est pourassurer laconfidentialité desdon- Son réseau. utilisépourchiffrer engénéral lestransferts sera Il d’exécution. L’intérêt dans sa résideprincipalement rapidité du chiffrement symétrique données. dechiffrer oudéchiffrer des àchacun qui d’eux permettra moyen sûr–laclé Message confidentiel Monica Message confidentiel Bill Figure 4–1 Chiffrement symétrique et confidentialité des données des etconfidentialité symétrique Chiffrement ataire doivent s’être écha Déchiffrement Clé secrète Chiffrement Clé secrète rtager une clé sécrète différente avec clé une rtager er et déchiffrer les données. Les deux Les lesdonnées. er etdéchiffrer ent asymétrique. Ils sontcomplémen- Ils ent asymétrique. s couram- de chiffrement symétrique peut rapidement devenir pénalisante devenir peut rapidement t à clé secrète, le chiffrement symé- secrète, t àclé hui couramment utilisés. Il s’agit du s’agit Il utilisés. couramment hui XXXXXXXXXXXXXXX XXXXXXXXXXXXXXX ngés aupréalable–parun © Groupe Eyrolles, 2005 Internet © Groupe Eyrolles, 2005 Eyrolles, © Groupe documents. adapté et prévu pourassurer laconfid duchiffr utilisations Les publique. clé n’estréciproquement. Il pas en théorie publique ne peuvent être déchiffréesqu rester connue deson seul propriétaire exempledans un gement possible, par plus lar- diffusée le est publique, commeson noml’indique, Laclé publique. clé et d’une privée clé composédoit posséderuncouple d’une de clés publique, chaqueutil chiffrement à clé Pour utiliserlechiffrement asymétri Chiffrement asymétrique • Quand cela est possible, AES est l’algorithme àutiliser.possible, AES celaest estl’algorithme Quand • d’un 2001lors (AES),Standard aétéproposéen AdvancedEncryption • IDEA. Algorithm Encryption Data International • •Blowfish bits. RC2, RC4 jusqu’àRC5 1024 et utilisentdesclés • DES duchif- à lors trois reprises del’algorithme 3DES estl’application • de (DES), inventé Standard une clé en1977,utilise Data Encryption • concours international visant à trouver un remplaçant à DES. à unremplaçant trouver à visant international concours bits). rentes (A–B–A 112 diffé- oudeuxclés bits) différentes (A–B–Cfrement 168 avectrois clés bits. 56 Message confidentiel Monica Message confidentiel Bill Clé publiquedeMonica Clé privéedeMonica Chiffrement Déchiffrement que, égalementconnu sous lenomde entialité etlasign ement asymétrique sont diverses. Il est sont diverses. Il ement asymétrique isateur désirant échanger desdonnées isateur désirant possible de déduire la clé privée de la privée possible dedéduire la clé annuaire, alors que la clé privée doit privée annuaire,la clé alorsque . Les données chiffrées avec laclé . Les ’avec la clé privée correspondante privée et ’avec laclé XXXXXXXXXXXXXXX XXXXXXXXXXXXXXX ature électroniquede Internet pondance. connaître lecontenucette denouvelle corres- clé publique,avec sa messages chiffrés pour privée, seulecapableclélisesa dedéchiffrerles message est acheminé àcette dernière, quiuti- confidentiel avec laclé publique deMonica. Le 4-2).Pource faire,il chiffre son message (figure en utilisant un algorithme à clé publique message confidentielàMonica, mais cettefois Notre ami Bill souhaite denouveau envoyer un Figure 4–2 et confidentialité desdonnées et confidentialité asymétrique et confidentialité D ANS Chiffrement asymétrique

PRATIQUE

Chiffrement 49

4 – Chiffrement des communications avec SSH et SSL Les Cahiers de l’Admin – Sécuriser un réseau Linux lité du document et l’identité de l’expéditeur. de garantir àlafoisconfidentia-il estpossible clél’expéditeur puisla publique dudestinataire, courrier d’un ment tronique.successivement Enutilisant le chiffre- utilisé denos joursdanslacorrespondance élec- Le chiffrement à clé publique est couramment l’expéditeur. sage etdoncque Billenestbien garantir tant devaliderde cenouveau l’intégrité mes- Monica peutdéchiffrercetteempreintepermet- clé privée. Seule sa clé publiquedétenue par Bill chiffre l’empreinte deson messageavec sa 4-3). sages afin d’en garantir lasource(figure signerélectroniquementdécident de leursmes- Après quelquesmésaventures, et Monica Bill asymétrique etsignature électronique asymétrique 50 ong u uetsnie ? sonnage aux lunettes noires photo contientle numéro etlecode de la carte bancaire du per- Qui pourrait croireque lefichier original auformat JPEG decette B : tribution,disponiblel’adresse est à d’outilsUneliste destéganographie, la plupartpour enlibre dis- Web accessible à tous. documents confidentiel Cette technique peut également être utilisée pour échanger des soient visuellementdétectables. da » copyrights pour insérer des « détectable lorsdela visualisation. Celapeut servir en particulier tous typesdans un fichier contenant une image sansque cela soit Plus concrètement, ilestpossible de cacherdesinformations de message dans un ensemble de données d’apparence anodine. Lastéganographie estune techniqueàdissimuler quiconsiste un R ÉCRÉATION http://www.stegoarchive.com et signature électronique des données des électronique et signature Figure 4–3 D ANS

La stéganographie La

PRATIQUE D ANS

Chiffrement asymétrique Chiffrement

avec lacléprivéede VRAIE Chiffrement

VIE s às partird’imagespubliées surun site … ns desphotos sans que ceux-ci génération d’une bi-clé pourun bi-clé génération d’une de l’ouvrage, A publique. Voiren annexe dechiffrement échangée sera par desmécanismes entre àclé lesdeuxparties de sessionutiliséepour lechiffremen négociation préalablesàl’établissement trique, ils sont, utilisésda engénéral, donc pluscoûteuxquelesdechiffrement algorithmes performants symé- utilis publique, àclé ment sontlesd etAdleman, Rivest, Shamir etRSA, quitire son Algorithm) nomdesesauteurs DSA (DigitalSignature Monica Bill Messa Messa g g e e Déchiffrement del’empreinte Chiffrement del’empreinte és en particulier par SSL et SSH. Beaucoupmoins par SSLet és enparticulier l’empreinte calculée Clé pub Compar Clé privée deBill Clé privée utilisateur ou un service. ouun service. utilisateur lique deBill aison ----- vec t symétrique delaconnexionsécurisée t symétrique eux principaux algorithmes de chiffre-de algorithmes eux principaux ns les phases d’authentification etde ns lesphases d’authentification de la connexion sécurisée. Uneclé delaconnexionsécurisée. Infrastructure à gestion de clés, la declés, àgestion Infrastructure Messa Messa g g chiffrée chiffrée e +Empreinte e +Empreinte © Groupe Eyrolles, 2005 Internet © Groupe Eyrolles, 2005 Eyrolles, © Groupe électronique. délivrer ducourrier despagesWebéchanger pour réseau couche où ilsutilisentcette ou encore Messaging Application Protocol) s’exécut (Hyper Textcomme HTTP Transfer Protocol) ouencore IMAP (Internet sur maisaussiles réseauxlocaux sur TCP/IP protocoleréseau dedonnées deséchanges régitlamajeureLe partie ? SSL, commentçamarche œuvre. demiseen réseau grâce àsasimplicité services par biend’autres aujourd’hui lesconnexionsInitialement proposé Web, poursécuriser SSLestutilisé par l’IETF normalisé et est aujourd’hui nouveaustandardSSL, TLS(Transport basésur vu lejour a Security) Layer Un serveurs. et données entre etlechiffrementdes clients l’authentification delacommunauté pour informatique adoptéparl’ensemble aujourd’hui SSL estunprotocole initialement propos ? Qu’est cequeSSL 6. réseauauchapitre la sécurisationdes lorsde services véritablement en œuvre abordée misesera Sa Hat del’entreprise. Linux Red machines fonctionnement généraldeSSLetiden possibleetutile.Cette sectionprotocole SSLquandcela s’avérait le décrit de lagestionde mettre encharge duparcdécidé enœuvresystème ont le renforcerpour informatiq lesystème Convaincus de la nécessité deLe protocole SSL(Secure SocketLayer) déployer Figure 4–4 HTTP SSL s’insère entre la couche réseau TCP/IP et la couche application. couche etla TCP/IP réseau couche la entre SSL s’insère LDAP SSL TCP/IP IMAP ue de Tamalo.com,ue lesadministrateurs (Internet Engineering Task Engineering (Internet Force). Internet. Des protocoles applicatifs Des protocoles Internet. des solutions àbasede chiffrement tifie les composants présents sur les tifie lescomposants é par la société Netscape Inc. Il est Inc.Il é parlasociétéNetscape ent au-dessus de TCP, dans le sens FTP Couche Réseau Application Couche B : l’adresse pages en anglais…) est disponible à (260 introductionchiffrementtechniques de aux Pourpluslecteurs courageux, les les unebonne B B tion de l’un ou l’autre des deux protocoles. réseau doit explicitementimplémenter l’utilisa- SSL n’est pas transparente. Une application Même sielleestsimple, l’utilisation deTLSou sysmétrique etasymétrique.de chiffrement l’authentification desparties via des techniques garantit la confidentialité desdonnées et Son utilisation par uneapplication réseau tocole réseau sécurisé SSL (SecureSocket Layer). normalisé par la RFC 2246. Il est basé sur le pro- TLS (Transport Layer Security) est un protocole B : Internet implémentation et deleur utilisation sur des techniquesetoutilsenvuedeleur développeurs… afindenormaliserréseau,des riels,éditeurs delogiciels, les experts des sation regroupant lesconstructeurs de maté- L’Internet EngineeringTask Force estuneorgani- http://www.rsasecurit http://www.ietf.org/rfc/rfc2246.txt http://developer.netscape.com/docs/ http://www.ietf.org index.html manuals/security/sslin/contents.htm R N ÉFÉRENCE ORMALISATION R ÉFÉRENCE Cryptographie

SSLetTLS

IETF y.com/rsalabs/faq/ 51

4 – Chiffrement des communications avec SSH et SSL Les Cahiers de l’Admin – Sécuriser un réseau Linux 52 C) u tet o uhniié(orfgr 4-5). (CA), qui atteste son authenticité (voirfigure est signéélectroniquemen certificat Le son identité. publiquede contient laclé certificat utilisateur. machine ou d’un d’une Le service, d’un réaliser l’authentification SSLpour ations utiliséparlacouche estunensembled’inform certificat Le Les certificatsX.509 : réseau TCP/IP et surtout surInternet risé SSL offre desfonctions fondamentales nexions appelléescommunément sécurisées, connexionsSSL. chiffrement et despossibilitésde po et serveur client des mécanism quil’utilisent applicatifs de couches applicatives SSL estunprotocole quivients’intercal de sécurité. fo de permet qui la technologie base de la à tant passurunpar tous. réseaupublicdeversion lisible L’utilisation de certificats X.509est l’authentification, etpourla assurer confidentialité devotredéclarationn’entranspor- en frement pour garantirchaque à partie(vous et effectuée à partir du site Web du Ministère desFinances met en jeu des mécanismes de chif- déjà rempliunformulaireêtre électronique dedéclarationsur lerevenu.Cettedéclaration Si vous faites partie desheureux travailleurs percevant un revenu régulier, vous avez peut- APPLICATION • Une connexion SSL permet de chiffrer l’ensemble desdonnées échan- dechiffrer UneconnexionSSLpermet l’ensemble • L’authentification de validerl’identité auserveur permet SSLduclient • L’authentification son à identité degarantir permet SSLduserveur • ration desdonnéeslorsdutransfert. ration mécanismes de vérification d’intégr En privées. destransactions plupart dans la pourlesdeuxparties confidentialitéestimportante dentialité. La etun serveur,gées entre unhautniveaudeconfi- unclient cequiapporte relati tions confidentielles Websi leserveur desinforma- devotre banquedoitvousfaire parvenir Cettedu client. authentification mu du sitedecommerce électronique destinataire. un achatélectronique,réaliser ilfaut pour decréditsurleréseau envoyervotre carte numérovous devez de serveur d’un mation de l’identité de surdestechniques ch particulier en s’appuye Cetauthentification ses services. utilisant clients des chacun Lscriiase e môs! Lescertificatsetlesimpôts haut niveau (figure 4-4). Il offre auxprotocoles Il 4-4). (figure haut niveau ves àvoscomptes bancaires. urnir ce service électronique avec un bon niveau bon urnir ceserviceélectroniqueavecun sondes informationssur détenteur et est trèsimportante.Notamment, si ité détectent automatiquement l’alté- ité détectent nécessaires à la communication sécu- communication à la nécessaires iffrement à clé publique.La confir-iffrement àclé es d’authentification mutuelle entred’authentification es tuelle estégalement tuelle très importante t paruneAutorité deCertification t er entre lacoucheréseauTCP etles que vous soyez certain de l’identité de vous soyez certain que complément de ce chiffrement, des ce chiffrement, de complément le ministère) l’identité del’autre, c’est © Groupe Eyrolles, 2005 ur établirdescon- © Groupe Eyrolles, 2005 Eyrolles, © Groupe L’établissement connexion utilisan d’une Authentification etétabliss miseenœuvr et la la certification Infr Key (IGC), enanglaisPublic clés estutilis decertification concept Le 4–6. lafigure commel’indique decertification, l’autorité publiquede clé peutêtre ducertificat La vérification 2 1 3 Kpub deDupont:01:00:B3:09:…... Validité :09/08/2003-08/07/2004 TAMALO, GRENOBLE,ISERE,FR [email protected] Bernard Dupont Kpub deDupont:01:00:B3:09:…... Validité :09/08/2003-08/07/2004 TAMALO, GRENOBLE,ISERE,FR [email protected] Bernard Dupont C,R4); RC2, RC4…) (DES, 3DES, delaconnexionsécurisée l’établissement pour et leserveur acceptable parleclient dechiffrement symétrique algorithme choix d’un ; RSA ouDSA) publiquedetype clé auprèsdu du serveur authentification ecifeetàcépbiu); publique) chiffrementde àclé du authentification optionnellement Empreinte chiffréeparKprivdeCA-Fille Empreinte chiffréeparKprivdeCA-Fille TAMALO, FR [email protected] CA-Tamalo B2:C1:1C:F1:8F:7B:51:….. TAMALO, FR [email protected] CA-Tamalo B2:C1:1C:F1:8F:7B:51:….. e pratique d’une PKI Tamalo.com. pour d’une e pratique effectuée par tout service qui possède la quipossède tout service par effectuée ement delaconnexionSSL é dans les Infrastructures à gestioné dans lesInfrastructures de srcue(K) ore neeAsur (PKI). Voirastructure enannexe client auprès du serveur (techniques auprèsduserveur client S rsnelséae uvne : t SSLprésentelesétapessuivantes client (techniquesdechiffrement à client Ca-Tamalo Chiffrement Déchiffrement Hachage Hachage Kpub Empreinte Comparaison, =? Ca-Tamalo Kpriv Déchiffrée Empreinte Empreinte Calculée Figure 4–5 Figure 4–6 signature par l’autorité certification de l’autorité par signature du certificat par calcul del’empreinte calcul par certificat du Certificat X.509, Vérification delavalidité Vérification 53

4 – Chiffrement des communications avec SSH et SSL Les Cahiers de l’Admin – Sécuriser un réseau Linux atcle eatat ucair 6. particulier sera traité au chapitre lèlement auxprotocolesIMAP etHTTP. Cepoint sessions. IMAPS et HTTPSserontdéployés paral- mots de passe nécessaires aux ouvertures de Web. Ceci estcourrierIMAPélectronique etl’accèsau service fait danssera utilisé pour sécuriser les accès au service de le but deDans le cas de la société protégerTamalo.com, OpenSSL lesB tures à gestion de clés (IGC). pulerles certificatsutilisés dans lesInfrastruc- couples declés privée/publique et pour mani- fourni pour générer demanièrealéatoire les SSL)… Unjeudecomm sur coles IMAPS(IMAP HTTPS(HTTPsurSSL), proto- des fonctionnement au et développement un ensemble debibliothèques nécessaires au distributions Linux.se matérialisepar OpenSSL manière systématique da tuite du protocole SSL. Elle est intégrée de OpenSSL est uneimplémentation libre et gra- 54 http://www.openssl.org implémentation libre deSSL O UTILS

OpenSSL, une ns toutes les bonnes andes est également qu’utilisent SSL. qu’utilisent d’authen sente égalementdes mécanismes dechiffrementmécanismes pourlaconfidentialité desdonnéesmaispré- n’étaienthistoriques mesureen d’assurer.plus ou pas SSHmetenjeudes produits quecertains grandissant en faitune réponseàun besoin desécurité TC le relaisd’applications et fichiers de nexions l’exécution interactives, decon- l’établissement permettant réseausécurisé SSH estunprotocole ? Qu’est-ce queSSH Le protocole SSH(Secure Shell) trique. asymé- et dechiffrement desalgorithmes symétrique partie grande plus la des nécessaires.SSL accepte déploiements traitera pitre ouvrage 6decet respectivementconnues souslesnoms protocoles IMAP,Les POP etHTTP dentialité desinformations des clients. confi- la de préserver afin sur SSL, uneimplémentationdeHTTP HTTPS, vitale. paiement est de transaction la HTTP. extrême, pourunsitedecommerce électronique,À l’autre sécuriser probablement unsurcoût serait in serveur fort stratégique sentent pasun caractère Par site Web exemple, lesdonnées d’un de documentation enlignenerepré- duservice. aufonctionnement nécessaires lesconnexions sécuriser SSL pour lequel leniveaudeconfidentialitérequ pour standard mode un à correspond premier Le defonctionnement. modes des plupart protocolesLa applicatifs Utilisation deSSLparlesapplicationsclient/serveur sur particulier.ce point protocoleTELNET leréseau.Le sur se trèsdangereux,révèle culent enclair la s’agit enpremier lieud’éviter Il ? À quelsbesoinsrépond SSH 5 4 établissement d’une connexion SSL chiffrée à clé secrète. àclé connexion SSLchiffrée établissement d’une ; chiffrementsession) pourle symétrique de (clé secrète clé échange dessecrets nécessaires à d’une partagés la génération compromission des mots de passe qui cir- P, X11.SSHest plus particulièrement commandes distantes, le transfert de commandes distantes, letransfert de hautniveauont implémentédeux IMAPS, POPS et HTTPS. Le cha- is est nul. Le secondutiliselacouche Le is estnul. Pour untel site, on plutôt utilisera disposent d’implémentations SSL disposent d’implémentations . Chiffrer lesrequêtes auprèsdece utile eton peututiliserleprotocole tification forte, similaires forte, àceux tification © Groupe Eyrolles, 2005 © Groupe Eyrolles, 2005 Eyrolles, © Groupe du motdepassesurleréseau n’est plusacceptable, mêmechiffré. de machineetsonadresse IP, se très dunom vérification que lasimple renforcée, mécanismes d’autres baséesur nécessairedevient de il D’autre part, est chiffréetdoncsécurisé. de laconnexion pa 4-8,nefournit sentée surlafigure connexio d’une En revanche, l’écoute évidence lavulnérabil dumo l’échange clairement 4-7)del’ (figure La copie d’écran tion (DCSSI), pour juger dela nécessité d’une déclaration d’utilisation. moins conseillé des’adresser àla Direction centrale dela sécurité dessystèmes d’informa- l’intérieur du territoire français. Pour une utilisation professionnelle deces outils, il est néan- lettre lalégislationfrançaise actuelle, limitant ladiffusion etl’utilisation dechiffrement à lumi en ou encoreOpenSSH,met La libre disponibilité en France deproduits B diffusion et son utilisation soit légale. 1999,anotammentcettedéclaration,soumiseété à pour sa que Bernardtuée par Perrot en est contrôlée par les services du PremierMini que lechiffrement est assimilépar certains décr 1998, la bits. Depuis l’entropie, dépasse 40 ment restrictive en interdisant tout chiffrement dont lataille utiledeclé,déterminant 1998, la législation frança légitime. Jusqu’en La question ? surprendre, peut restepourtant mais elle SSHEst-il légald’utiliser enFrance française chiffrementetlégislation SSH, http://perso.univ-rennes1.fr/bernard.perrot/SSF/ Figure 4–7 ité d’un telprotocole. ité d’un Reconstitution de la session TELNETécoutée de session la Reconstitution t de passe lors de l’ouverture de session et met en sessionmet de et lors del’ouverture t depasse ère le choix dule choix gouvernement ère denepasappliquer àla écoute d’une sessionTELNET écoute d’une montre de cryptographie forte tels que GnuPG,de cryptographie fortetels OpenSSL pouvoir disposer d’une authentification d’une disposer pouvoir s d’information intelligible. L’ensemble intelligible. s d’information etito t lveà18bits. Rappelons restriction a étéélevée à 128 ise en matière decryptographieest extrême- stre. SSF, l’adaptation française deSSH effec- n interactive réalisée avec SSH pré- réaliséeavecSSH interactive n nsibles à la mascarade. La circulation La mascarade. à la nsibles ets à une arme de guerre dont ladéclaration dont deguerre arme ets àune français. de fourniture etd’utilisation pour le marché des logiciels ayant faitl’objetd’une déclaration chiffrement.DCSSIgère notamment La laliste entre autres, l’utilisation en France d’outils de d’information (http://www.ssi.gouv.fr) contrôle, La Direction centrale de ORGANISATION ORGANISATION la sécuritédessystèmes DCSSI 55

4 – Chiffrement des communications avec SSH et SSL Les Cahiers de l’Admin – Sécuriser un réseau Linux B distributions Linux proposent OpenSSH. d’exploitation, dont Linux. La majeure partie des grand desystèmes surun nombre est porté cole SSH.Issu du système OpenBSD, OpenSSH implémenOpenSSH estune 56 Figure 4–8 http://www.openssh.org de la session SSHécoutée session de la Reconstitution O UTILS

OpenSSH tationproto- libredu Enfin, les connexions interactives, l’ interactives, connexions les Enfin, de n’utiliser que la version 2. Éditer pour pour celalefichier Éditer 2. de n’utiliser que version la 1 sa dans version duprotocole lités existedeuxversions du protocole,Il incompatibles vulnérabi- entre elles.Les Caractéristiques d’OpenSSH : sécurisée une alternative SSH va remplacer un certain nombre d’outils standards d’Unix et y apporter également entoutesécurité. pouvoirêtre effectués doivent defichiers transfert sshd_config • La commande La • • On introduit une authentification fo uneauthentification Onintroduit • • Les flux TCP pourront être redirigés dans le tunnel chiffré de la session dela TCPflux pourrontdans letunnelchiffré être redirigés Les • possibilité de avec Untunnelchiffré • • Les r-commandes r-commandes Les • scp (X11 l’est pardéfaut)etseront donc(X11 l’est connexion sécurisée. base dela sant estàla comptes utilisateur. publiques aussibi tographiques àclés . . ftp sera remplacéesera par rsh , rlogin et ayant étédémontrées,ilestrecommandé exécution decomman exécution rcp compression des donnéesle traver- sécurisés sans à avoir à les modifier. àles àavoir sans sécurisés rte, baséerte, sur des algorithmes cryp- en pourlesmachines que pour les sftp vont être remplacées par . © Groupe Eyrolles, 2005 des distantes,le /etc/ssh/ ssh et les commandes de manipulation de clés et le serveur SSH (démon et le serveur les commandesde manipulationde clés Troisco modulesdistincts © Groupe Eyrolles, 2005 Eyrolles, © Groupe des mande de gestion modules à lacom- effectuée grâce Hat est Red système le sur de OpenSSH sants delasociétéutiliserontsystème cett défaut. Pour etlamiseen l’évaluation Tamalo.com, pack intègre OpenSSH.Le debase desde commesystème machines utilisée Hat, Red La distribution Installation d’OpenSSH mandes distantesouencore de transférer desdonnées. des se afind’ouvrir avec ceserveur SSH. Un ensemble de commandes service le offrant une machine sur en permanence (sshd)tourne serveur gramme basé su est deSSH fonctionnement Le sécurisée. Des algorithmes de chiffrement symétriq la connexion estréalisée sécurisée, chiffrerpour utilisées t-à-dire desclés c’es desession, clés des négociation La L’authentification etleséchangesde L’option need tohavetheopenssh package installed. allows SSHclients tosecurelyconnect toyour SSH server. You also This packagecontains thesecure shelldaemon(sshd). Thesshd daemon implementation. Description :OpenSSH isOpenBSD's SSH(Secure SHell) protocol Summary :TheOpenSSH serverdaemon. URL :http://www.openssh.com/portable.html Packager :RedHat, Inc. 219180cddb42a60e Signature :DSA/SHA1, Tue3Sep 2002 11:33:01PM CEST,KeyID Size :365544License: BSD Group :SystemEnvironment/Daemons SourceRPM: openssh-3.4p1-2.src.rpm Build Host:daffy.perf.redhat.com Install date:Mon 14Apr200304:42:44 PMCEST Release :2Build Date: Wed14Aug 200206:08:13 AMCEST Version :3.4p1Vendor: RedHat, Inc. Name :openssh-server Relocations: (notrelocateable) openssh-server-3.4p1-2 -qi $ rpm openssh-server-3.4p1-2 openssh-3.4p1-2 openssh-clients-3.4p1-2 '*ssh*' –qa # rpm –qi de la commande commande la de ntiennent respectivement respectivement ntiennent rpm rpm afficheles informations avec unprotocole Diffie-Hellman. cmedn ’xml uvn : suivant comme dansl’exemple ssions interactives, d’exécuter descom- d’exécuter ssions interactives, clés sont réalisésavecRSA ouDSA. clés e version. L’identificatione version. descompo- œuvre du logiciel, les administrateurs r le modèle client/serveur. Unle modèleclient/serveur. pro- r ue sont utilisés pour la connexion la ue sontutiliséspour age est en général installé par installé age estengénéral clientes permettent d’interagir permettent clientes les commandesclientes, relatives aumodule. sshd ). autre queOpenBSD. révèle qu’elleaétéportéesurunsystème » et portable le niveau deversion signifie« »dans p systèmes d’exploitation. Lalettre « tème OpenBSDet4.3p21pour lesautres pourlesys- 4.3 sion couranted’OpenSSH est l’heure où cet ouvrage est remisàjour, laver- effectué avec la plus grande attention. À doit être produit pourest un lequellesuivi ment à partir du sitederéférence. OpenSSH téléchargeant lessourcesproduit dudirecte- quement la dernière version d’OpenSSH en Il estfortement conseillé d’utilisersystémati- R ECOMMANDATION

4 – Chiffrement des communications avec SSH et SSL Les Cahiers de l’Admin – Sécuriser un réseau Linux 58 ier personnel de l’utilisateur en compte, le fichierpersonnelprises puis del’utilisateur les décroissant l’ordre despriorités, Le fichier config config clientes sont dans le répertoire lerépertoire dans sont clientes sshd et des commandes fichiersnécessaires àlaconfigurationdu serveur Les Fichiers deconfiguration d’OpenSSH L’option commandes suivantes à exécuter souslecompteexécuter commandes suivantesà étab administrateurssystème SSH. Les être pour devaient distance à réalise d’ aété décidé que seuls les serveurs Il Activation etlancementduserveur SSH configuration personnel dans le répertoire de taires,en créantunfichier soit ligne quisontpriori commandes en des modifier. peut Ceêtre paramétrage surcsoitenutilisantlesoptionshargé, commandes SSH (ssh, SSH(ssh, commandes Le fichier de configuration. sur lalignedecommandesont prioritair signal SIGHUP lui estenvoyé. options de démarrage de Les sshd données estlu Il sshd. configuration duserveur L’option po dusystème redémarrage au SSH vice La commande commande La teur et enreprenant dufichier teur la syntaxe sshd 0:off 1:off 2:on 3:on 4:on 5:on 6:off 5:on 4:on 3:on 2:on 1:off 0:off sshd sshd –-list # chkconfig on sshd 2345 –-level # chkconfig /var/empty/sshd /usr/share/man/man8/sshd.8.gz /usr/share/man/man8/sftp-server.8.gz /usr/share/man/man5/sshd_config.5.gz /usr/sbin/sshd /usr/libexec/openssh/sftp-server /etc/ssh/sshd_config /etc/ssh /etc/rc.d/init.d/sshd /etc/pam.d/sshd openssh-server-3.4p1-2 -ql rpm # et enfin le fichier global contenu dans le répertoire global contenudanslerépertoire et enfinlefichier –ql ––list /etc/ssh/ssh_config /etc/ssh/sshd_config liste les fichiers cont listelesfichiers chkconfig de la commande affiche la de lacommandeaffiche scp permet de configurer permetde ou , sftp /etc/ssh/ ). Seul l’administrateur du système peutle du système l’administrateur ). Seul enus dans le paquetage. enus dansle définit le comportement par défaut des contient l’ensemble des paramètres de contientl’ensemble options de lacommande sont d’abord vus du service (démon) deconnexion vus duservice au lancement du démon et lorsqu’unet démon aulancementdu rlsnvaxdeéuin2 ,4e 5. 4et 3, 2, niveauxd’exécution ur les applications dont l’administration se dontapplications l’administration lissent uneprocédure composée des es par rapport au contenufichier du rapport par es . configuration duservice. configuration $HOME/.ssh/config /etc/ssh/ssh_config root nonle lancement ser- du © Groupe Eyrolles, 2005 pouractiverleservice. /etc/ssh/ $HOME/.ssh/ del’utilisa- . Dans . En revanche, pour ouvrir une conn © Groupe Eyrolles, 2005 Eyrolles, © Groupe bernard Pour afficherladatecouran Exécution decommandesàdistance bernard server.tamalo.com la vers la machine suivant, l’exemple dans la commande, on lequel sur compte du l’identité Si celle de laConnexion interactive session Utilisation deSSH pourlasessionencoursaveccommande puis arrêté SSH estunefo service réseau. Le postes de travail des Les em Désactivation etarrêtduserveur SSH manuel n’estété réamorcé. a pas nécessairesystème sile L’activation es terminée, leservice uecr : ou encore $ ssh –l bernard server date server bernard –l $ ssh server.tamalo.com bernard –l $ ssh [email protected] $ ssh server.tamalo.com $ ssh stopped is sshd status sshd # service ] OK [ sshd: Stopping stop sshd # service 6:off 5:on 4:on 3:on 2:on 1:off 0:off sshd sshd –-list # chkconfig off sshd 2345 –-level # chkconfig running... is 13525) 13986 13988 (pid sshd status sshd # service start sshd # service nar eor : aura recours à , on : commandesuivante la utilisera , on . ployés pour sontconfigurés n’offrir aucun service te sur la machinete surla distante is pourtoutesdésactivé avec t démarré t démarré manuellement. Ce lancement souhaite se connectern’est pas spécifiée en cours est prise par défaut. Dans pardéfaut. est prise encours exion explicitementsous l’identité quelle laconnexion quelle service server est initiée est est sousl’identité . chkconfig, de ne pas préciser de nepaspréciser aussi connectéeauréseau localilserapossible nectée àl’Internet.Sila machine locale estelle pour peu que la machine lamachine que peu pour connectée auréseaud’une machinenon local, Cette commande fonctionnera mêmeà partir .tamalo.com server . soitcon- 59

4 – Chiffrement des communications avec SSH et SSL Les Cahiers de l’Admin – Sécuriser un réseau Linux 60 iszlisrcinsiat : suivante sissez l’instruction machine machine Options descommandesSSH estproposéparlacommande FTP Letransfert interactifTransfert interactif defichiers de fichiers dans un mode similaireà celuide l’outil sur lamachinedistante commande La Copie distantedefich sécurité dusite.deTamalo.com, Dans lecas par seules l’authentification méthodes peuvent être activées oudésa OpenSSH offre plusieursméthodesd’au Configuration duserviceSSH Authentification avec SSH Inversement, pour copier lefichier Inversement, pour machine vers la machine lamachine vers machine Pour(copie copierlecontenuentier : suivante lacommande,vous exécutez vous l’instruction laquelle utiliserez Cette première réalise la copiedufichier local instruction versa. de lamachinelo répertoire tenu d’un –h –x –X –v –V –C $ sftp $ sftp bernard@server [email protected]:/var/tmp /tmp/monrepertoire –r scp $ /tmp/tonfichier server.tamalo.com:/var/tmp/tonfichier scp $ server.tamalo.com:/var/tmp /tmp/monfichier $ scp server.tamalo.com Désactive le relais X11 (commande ssh uniquement). uniquement). ssh X11(commande relais le Désactive uniquement). ssh X11(commande lerelais Active po bavard utile enmode Bascule (très Affiche le numéro de version de la commande. compression. la Active Affiche les options de la commande. scp permet indifféremment de copierun fichier ou le conserver.tamalo.com iers ouderépertoires server.tamalo.com , dans le répertoire sftp cale vers la machine distante et vice ctivées en fonction de la politique de politique ctivées enfonctiondela /var/tmp/tonfichier récursive) d’un répertoire devotre répertoire d’un récursive) ur la détermination des problèmes). : thentification desutilisateurs.Ces thentification , dans le répertoire , danslerépertoire sous l’identité sousl’identité /tmp © Groupe Eyrolles, 2005 de la machine sur dela machine /tmp/monfichier situé sur la bernard /var/tmp , sai- . © Groupe Eyrolles, 2005 Eyrolles, © Groupe lablement généréaveclacommande doit avoirensa possession sont RSA Un utilisateursouhai etDSA. dansOpenSSH authentification ment misesenœuvreréalisercette pour sur même chiffré, depasse, mot d’un L’authentification publique à clé perm Authentification àclépublique le motdepasseassocié. L’utilisateur le fournit nom du compte so ultérieure. frauduleuse surleréseaupouruneutilisation ne peutêtre capturé mot de passetransitesurréseau à le par leprotocole TELNET. La différence par mot d’authentification mécanisme Le Authentification parmotdepasse sshd Extrait configurationdu démon fichier de du Voicidu démon configuration de dufichier unextrait 2sontconfiguréesles mach sur protocole publique (RSA ou à clé DSA)en l’authentification et mot depasse où le service est démarré. où leservice $ ssh-keygen –t dsa –t $ ssh-keygen : clés DSA uncouple de # Pourcréer rsa –t $ ssh-keygen : clés RSA uncouple de # Pourcréer no HostbasedAuthentication 2 le protocole # Idempour no RhostsRSAAuthentication désactivée 1etrhosts RSAenprotocole combinant # Authentification yes IgnoreRhosts et~/.shosts ~/.rhosts fichiersutilisateurs # Ignoreles no RhostsAuthentication désactivée (R–Commandes) typerhosts # Authentification AuthorizedKeysFile.ssh/authorized_keys yes PubkeyAuthentication 2 pourleprotocole RSA/DSA # Authentification no RSAAuthentication 1désactivée leprotocole RSApour # Authentification no PermitEmptypasswords demotpasse de nepasmettre possibilité # Interditla yes PasswdAuthentication depasse parmot # Authentification Protocol 2 en protocole2 # Forcelefonctionnement un couple de clés privée/publique qu’il préa- aura privée/publique uncoupledeclés travers laconnexionSSHchiffrée,travers donc ssh–keygen et d’éviter àtoutmoment lepassage et d’éviter le réseau. Les techniques de chiffre-le réseau.Les tant s’authentifier tant us lequel il souhaite se connecter et us lequelconnecter ilsouhaitese ines où le service SSHestautorisé. ines oùleservice de passeestsimilaire àceluiutilisé majeure résidedanslefaitque . sshd decettemanière sur les machines surles 61

4 – Chiffrement des communications avec SSH et SSL Les Cahiers de l’Admin – Sécuriser un réseau Linux 62 Authentification RSA Authentification Figure 4–9 doit fournir sa sa fournir doit la clé publiquecorrespondante danslefichier la clé id_dsa.pub La clé privée RSA privée estsauvegardée dansle répertoire clé La Lorsqu’une connexion SSH est ouverte vers lamachine connexion SSHestouverte Lorsqu’une Au moment de la production du co mécanisme d’authentification décr d’authentification mécanisme mot depasseou moins un point faible. En unutilisateursouh effet, plus robuste et reste celle à conseiller par Cette techniqued’authentification Le fichier compte distant surla machine verslaq Dans le cas de l’algorithme DSA, la clé privée est dans lefichier privée DSA,la clé del’algorithme Dans le cas défaut. La clé publique estcopiéedans le fichier clé La que deson propriétaire. contenu. Souvenez-vou le extraire d’en à qu Cette protection permetd’éviter .ssh/id_dsa phrase $ scp –p $HOME/.ssh/id_rsa.pub server:.ssh/authorized_keys $HOME/.ssh/id_rsa.pub –p scp $ Déchiffre lechallengeavecla clé privéecorrespondante Envoi MD5duchallenge $HOME/.ssh/id_rsa Envoi declépublique » Demande de«login Client , long mot de passe servant àchiffrer , long mot depasseservant . et la clé publique correspondante danslefichier etlaclé authorized_keys passphrase passphrase afin d’accéder à la clé privée nécessaire pourquele privée àlaclé afind’accéder pour se connecter aura vite compris qu’iln’est peut contenir plusieurs clés publiques. peutcontenirplusieursclés tsrl iue4-9aboutisse. it surlafigure uple de clés, il est demandé une il estdemandé clés, uple de iconque pourrait accéderàvosfichiers iconque pourrait uelle les connexions s que la clé privée ne doit être privée connue s que la clé aux utilisateurs.Elleprésente néan- couple de clés est certainement la estcertainement couple declés $HOME/.ssh/authorized_keys le fichier contenant la clé privée. clé contenantla lefichier $HOME/.ssh/authorized_keys Test validitéduMD5challenge $HOME/.ssh/id_rsa.pub Test connaissanceclépublique Challenge chiffréavecclé © Groupe Eyrolles, 2005 aitant neplussaisir de

$HOME/.ssh/id_rsa publique duclient Authentification server seront initiées. Serveur $HOME/.ssh/ , l’utilisateur , $HOME/ pass- par du et clés, et à l’ajout de la clé privée danslemagasinde privée delaclé etàl’ajout clés, L’exemple couple de lesétapes nécessaires suivantdécrit d’un à la génération .xsession Le lancementdudémon Le Consultation du contenu du magasin à clés maintenu par le démon démon le par maintenu clés à magasin du contenu du Consultation : RSA coupledeclés d’un Génération une solution. Le programme programme Le une solution. © Groupe Eyrolles, 2005 Eyrolles, © Groupe manager window Afin le confortd’offrir de ne passaisir sa propriétaire. du tité pour seconnectersousl’iden- l’utiliser réussi às’emparer pourra decefichier tectiondu fichier pr contenantclé la aisément compris, le danger résidelors delagé une saisir pas obligéd’en al La blir uneconnexiondistante. clés privées maintenu privées par ledémon clés dant toute dela la durée dissuader la pratique de la dissuader lapratique sur un poste de travail. Le démon Le surde travail. unposte desasessionX11ouverte pendanttouteladurée del’utilisateur privées clés ment la clé appropriée à la commandeà appropriée ment laclé démarrage dugestionnaire ou defenêtres démarrage de fond sur le poste de travail. Il est lancé au début de la session X11 avant le The agent has no identities. no has agent The -L $ ssh-add [email protected] c1:a6:2c:6a:bf:6f:70:cf:95:9f:dd:e2:31:3f:83:2c is: fingerprint The key in/home/bill/.ssh/id_rsa.pub. saved been key has Your public /home/bill/.ssh/id_rsa. in saved been has identification Your again: passphrase same Enter nopassphrase): for (empty passphrase Enter the key (/home/bill/.ssh/id_rsa): tosave inwhich file Enter pair. key rsa public/private Generating rsa -t $ ssh-keygen `ssh-agent` eval .xsession fichier le dans ssh-agent démon du # Lancement passphrase » de l’utilisateur delamanièrelancement du quiavantle suit, » del’utilisateur associée à une clé privée n’est privée renseignée àune clé qu’unefois pen- associée seule : session parl’utilisateur, aumagasinà lorsde l’ajout ssh-agent passphrase ssh-agent ssh-agent ssh-agent nération du couple de clés. Vousdu coupledeclés. nération l’aurez vide, lesauteursdeSSH imaginé vide, ont ors dans le risque d’une mauvaise pro- d’une danslerisque ors doit apparaître dans le fichier « apparaîtrefichier doit dansle ivée de l’utilisateur. aura Quiconque ssh permet de garder degarder en mémoire permet les window manager passphrase lorsqu’elle est pour exécutée éta- rend disponible automatique- . Ce dernier s’exécute entâche s’exécute dernier . Ce ssh-agent 150 foisparjour et pour enanglais. . ssh-agent ~/ : 63

4 – Chiffrement des communications avec SSH et SSL Les Cahiers de l’Admin – Sécuriser un réseau Linux tionne une variabletionne d’environnement SSH.La commande clientsur lamachine SSH la redirige dans letunnel chiffré de la session transfère sur le descripteur d’écran local, même le risque d’espionnage. sessionlocal dela utilisateur, éliminantpar-là n’accepter plus que les requêtes d’affichage X11. Ilestdoncpossible sur ordi01:0 ordi01 virtuel, le démon fait une requête X11surcet d’affichage écran à ordi02 la connexiondepuis Lors de phique lancée sur la machinephique lancée surla distante dontapplicationLorsqu’une ilalagestion. gra- ordi02:1 64 reçoit la requête d’affichage et la le démon 4-10), (figure E , géré par le gestionnaire d’affichage géréparlegestionnaire , N dans un tunnel SSH tunnel dans un

PRATIQUE , qui correspond àunécran virtuel sshd

Rediriger X11 Rediriger intercepte la requête et ordi01 ordi01 sshd DISPLAY ordi02 posi- sur de L’arrêt de lacommande l’invocation estréalisépar de se dernier maintenues par le démon par le maintenues Relais d’affichageX11 Relais l’option avec machine distante dans lefichier la est copiéesur privée publique correspondclé à la ante Une foisquelaclé delaprésence Vérification aumagasin: privée clé Ajout d’une connexion. redirigerla possibilitéderequête d’ SSH vientco de lamachine. l’utilisateur les derécupérer possible etdespériph contrôle del’affichage X11,n’importeprendrepeut qui d’affichage le serveur des accèsau missive d’affi serveur etd’un écran d’un doté ilest mier possible dedéport système, Dansmonde le Unix, lorsqu’une applic La commande commande La connecter sansdonnerde motdepasseou echo Agent pid 32387 killed; pid 32387 Agent echo SSH_AGENT_PID; unset SSH_AUTH_SOCK; unset -k $ ssh-agent removed. identities All -D $ ssh-add .ssh/id_rsa b26PvQBmT0= +bQTZBkzcIuJYHgogs5TR56yqwaqEkegMFo1xulM9Ue6nV5coG7zX1yV/jZ94Cv EaSw8Wx9Gaxpcfaek+56XXIJFUMvQhjHyEn757s2rL/IDG3tFuNBwhXwkVQQuzx AAAAB3NzaC1yc2EAAAABIwAAAIEA6/tKfSnIRWnD6ILyKpuZFn9IruGXFHh7qEr ssh-rsa -L $ ssh-add (.ssh/id_rsa) .ssh/id_rsa added: Identity .ssh/id_rsa: for passphrase Enter .ssh/id_rsa $ ssh-add -k ssh-add . permet également de supprimer l’ensemble desclés l’ensemble également desupprimer permet événements clavier et donc d’espionner ce que fait etdonc d’espionner événements clavier ssh-agent cette clé danslemagasin: cetteclé authorized_keys ériques associés.Notamment,ériques ildevient chage X11. Avec une configuration per- . er son affichagesurunautre système affichage dansletunnelchiffrédela ation graphique s’exécutesur un pre- mblerce troude sécurité en offrant passphrase , il devient possibledese , il devient © Groupe Eyrolles, 2005 . ssh-agent traces du serveur (sshd) sollicité. (sshd) duserveur traces © Groupe Eyrolles, 2005 Eyrolles, © Groupe l’option d’employer ion de ssh, conviendra il lors de l’utilisat d’embarras En cas Dépannage coexistentpourgére mécanismes Plusieurs Gestion desaccèsauserviceSSH la connexion réseau(voirchapitre 5). dela nomdomaineInternet encoresourcede le ou initiant nom demachine Wrapperpermet lamiseenplacederè de SSHet conjointe Enfin, l’utilisation • Les directives Les • • De la même manière, l’option De la mêmemanière, l’option • Affichage DISPLAY=ordi01:0 /etc/ssh/sshd_config refuser explicitementles révéler utile dans quelques cas defigure.révéler utiledansquelquescas maiselle ces paramètrespeut estrudimentaire néanmoins etexclusive, se ou des groupesà autorisés duse connecter réseau.L’utilisationà partir de local Serveur X11 Client SSH ordi01:0 –v ordi01 du client afin de le rendre plus verbeux et de lire à mesure les AllowUsers , permettent la sélectio connexions sous le compconnexions sous Affichage distantredirigé et Session utilisateur Canal chiffré Connexion SSH AllowGroups PermitRootLogin + r les accès au serveur SSH d’une machine. machine. SSH d’une r lesaccèsauserveur gles d’accès basées sur l’adresse IP, basées sur l’adresse gles d’accès le des librairies de filtrage réseau TCP du fichier deconfiguration dufichier n descomptes utilisateur te administrateur root.te administrateur offre la possibilité de Affichage DISPLAY=ordi02:1 local Démon sshd utilisateur ordi02:1 Session ordi02 Figure 4–10 Principe du relais X11 relais du Principe 65

4 – Chiffrement des communications avec SSH et SSL Les Cahiers de l’Admin – Sécuriser un réseau Linux B plement un accès sécurisé VPN. sites quisouhaitent déployer rapidement et sim- points.très intéressantOpenVPN pour est les sécuriserIP afind’enl’échange entredeux sertment, untunnelSSLàencapsuler dutrafic OSI en utilisant le standard TLS/SSL. Plus simple- sécurisée réseau descouches 2et3dumodèle une extension OpenVPN implémente Le projet B B B naissance aux projets Openswan etStrongswan. de sondéveloppement, FreeS/WAN adonné couchesdu réseau noyau Linux. Arrivé auterme monde VPN. Ils sont implémentés au niveau des protocolesstandardssont les utilisésdansle tion des protocoles IPSEC et IKE pour Linux. Ces FreeS/WANLe projet pr B 66 http://www.openvpn.net http://www.strongswan.org http://www.openswan.org http://www.freeswan.org http://www.vpnc.org ORGANISATION ORGANISATION R R ÉFÉRENCE ÉFÉRENCE

Le projet FreeS/WAN

Le projet OpenVPN Leconsortium VPN opose une implémenta- Réseau privé virtuel (RPV) ou (RPV) virtuel Réseau privé dans de telles sactions de cesservices Unesoluti prévues. été pas spécification, ces possibilités deoffrir chiffrement pa desprotoccas, Néanmoins, danscertains decommunications deTamalo.com.types besoins deconfidentialit L’utilisation de SSL et de SSH permet de répondre à la grande majorité des L’alternative VPN pas abordées dans cette édition. pas abordéesdans cette proposées parcesdeux cielles logi- couches des description La OpenVPN. projet le que kernel du profondes etIKEIPSec pourlesnoyaux Il Linux. FreeS/WANprojet implémentation luiune desprotocoles à proposequant av souhaite commencer qui celui pour SSL trèsfacileàdéployer, donctrès VP et la BSD.lignée des s’agit d’un Il OS X Mac Solaris, Windows, s’étendmêmeauxsystèmes fourniture d’outils Linux. au besoindeVPN surlesystème initiatives,généralPlusieurs encompléme niveau. réseaudehaut transparente pourles services utilisationdevienne leur que afin réseau, couche la de niveau au mais SSH, et SSL pour cas le est cela etla confidentialitécation desdonnées frement nécessaires àlasécurisation technologiedes VPN La consiste àmettre enœuvre dechif- lestechniques é et d’authentification nécessaires auxdifférents é etd’authentification projets, ainsi que leur mise en œuvre, miseen leur ainsi que neseront projets, Virtual Private Network N reposantde sécurisation surlacouche des communicationsdes pourl’authentifi- situations, réside d’un dans l’utilisation populaire. C’est l’outil incontournable l’outil populaire. C’est ec les VPN sur le système Linux. Le Linux. les VPNsurlesystème ec , non plus au niveau applicatif comme , applicatif non plusauniveau rce qu’elles n’ont, deleur au moment on lestran- convenable poursécuriser intervient auniveaudecouches plus intervient Dans le cas du projet OpenVPN, la oles réseau applicatifs peuvent ne pas ne peuvent applicatifs réseau oles ntaires, ntaires, ont vule jourpourrépondre © Groupe Eyrolles, 2005 en anglais (VPN). enanglais © Groupe Eyrolles, 2005 Eyrolles, © Groupe forte. nismes d’authentification protocoles, introduisant ainsiunecouc cela estnécessairecesmêmes de foisque placés chaque SSL parlesversions etIMAP, HTTP les services même avec en estde tique. Il qui sontrem- informa- del’infrastructure réorganisation aprèsla immédiatement appliqué TELNET,définitif desservices etRSH au profit de SSH aété FTP sur leréseau.Ainsi,l’arrêt sensibles (notammentlesmots de passe) enclair des données transiter laissant services des l’ensemble a décidédesupprimer enchargedela gestio sion, l’équipe compromis- une subi Après avoir d’authentification. forcerles mécanismes estnécessaire deprotégerIl lesdonnéesde ren- véhiculéessurleréseauet un jour, réellement lecas n’est ce aujourd’hui. plusvrai considérés commedignes deconfétaient jours ont étédéveloppés à une époque Un bon nombre deprotocoles réseau encore régulièrement utilisésde nos En résumé… n du réseau informatique deTamalo.comn duréseauinformatique he de transport chiffréeet des méca- he detransport iance. En admettant que cela ait été ait que cela iance. Enadmettant où les réseaux locaux et distants 67

4 – Chiffrement des communications avec SSH et SSL chapitre 5

[root] # _

SOMMAIRE B Installation automatisée Maintenir un ensemble de machines Linux dans un état du système B homogène et cohérent, c’est-à-dire procéder à une Mise en configuration minimale administration système rigoureuse, est la condition préalable B Mises à jour strictement nécessaire à la sécurisation du système B Sécurisation du système d’information. Elle commence par le déploiement d’un de fichiers B système minimal opérationnel. Configuration sécurisée de la pile TCP/IP

MOTS-CLÉS B Administration système B Bonnes pratiques B KickStart B BIOS, RPM B Chkconfig B Service B Protection des fichiers B suid, sgid

© Groupe Eyrolles, 2005 Les Cahiers de l’Admin – Sécuriser un réseau Linux anaconda-ks.cfg B machine à installer. Le fichier le profildela décrit figurationlequel est dans manière automatiquegrâceàdecon- unfichier composants. L’installation KickStart seréalise de et système de du ses d’installation des phases Hat. Ilpermetl’automatisation tions Linux Red KickStart est un outil proposéavec les distribu- cloner lesystème. tion manuelle témoin, il peut êtreutilisé pour une installa- Après Hat. d’un systèmeLinuxRed KickStart est créé lors de chaque installation 70 http://www.redhat.com/docs/manuals/ kickstart2.html linux/RHL–7.3–Manua O UTILS

KickStart contenant leprofil l/custom–guide/ch– /root/ le nombre de logiciels installés. Les po nombre Les le de logicielsinstallés. fichiers de profils estprésenté ci-de par deles administrateurs système L’utilisation un atout est deKickStart bienmaintenuetdoncjour. unsystème à estd’abord sécurisé rentes des syst tâches d’administration deprocédures automatiquesnécessaires l’utilisation permettra auxdiffé- mises à jour, incident de Un environnementsécurité). homogène système de permettre réactivi uneplusgrande poss leplusefficacement d’administrer L’objectif visionsimplifi cette de d’applications. de baseàcesserveurs sert beaucoupplus Hat dépouilléquelepremier Web). LinuxRed Un système électronique)messagerie etauxservices co nécessaires autravail applications surlesquelssonthébergées les deuxièmeprofil concerne lesserveurs Le vail bureautique etaudé dotés de PCLinux Re aveclesystème qu’ils commerciaux soient ouencore administratifs, seront développeurs. Ils lespostes premier concerne Le définis. Afin de simplifier l’administration du Installation automatisée Nous allonsaborder cesdifférentes mise enconformité permetla sécurité Linux. Une secondephase aux besoinsen deconfiguration proportionnée installation pa lors d’une lecas d’être réseauou non, loin superflu, engénéral ne doit yêtre C’est démarré. service machines, pour limiter l’hétérogénéit des l’installation estpossibled’automatiser il RedHat, distribution du parc Nous informatique. verrons co homogène, de surl’ensemble manière sécurisé, opérationnel tème minimal premièreLa phase delaprocédure d’in système. de lasécurité vement dansledomaine significati- accès auxdifférentes ressourcesd’avancer dusystème, permettent inutiles tion desservices systématique ladésactiva- jour régulièresystème, composantsdumise à des la simples que un dans Linux machines les administrateursde lasociétéTama Nous aucoursdece allons présenter veloppement d’applications. état homogèneetcohérent. Desopérations aussi ée duparc estclairement informatique étapes aucoursdecechapitre. llaboratif (impression, bases dedonnées, ssous. Ils diffèrent dans ssous. Ils principalement Tamalo.com.contenu desdeux Le r défaut de la plupart r des distributions défaut delaplupart opérationnelle définitivedusystème. opérationnelle lo.com un ensemblede pour maintenir chapitre lesmoyens misen œuvre par pour le déploiement des profilspour ledéploiement définis é des systèmes d’exploitation. Aucun d’exploitation. é des systèmes parc, deux profils de machines ont été ont demachines profils parc, deux stes de travail sont pourvus d’un envi- d’un destes travailsontpourvus de travail à destination àdestination des employés, detravail té en cas de besoin (déploiement de mment, mment, avec lesoutils avec la fournis d Hat et les outils nécessaires lesoutils autra- et Hat d èmes. Ne l’oublions èmes. Nepas,unsystème l’oublions ible des trèssystèmes similaires, afin ouencore lagestion contrôléedes stallationdéployer consiste à unsys- Internet (serveur denoms,serveur Internet (serveur © Groupe Eyrolles, 2005 © Groupe Eyrolles, 2005 Eyrolles, © Groupe profilFichier KickStartdu despostesdetravail profil du Fichier KickStart serveur Voiciet postedetravail. lesprofilsserveur dupare-feu réseauestpardéfaut maximal. niveaudesécurité machines. Le limiter le champ d’action pirate d’un qui auraitréussi à s’introduiresur les de afin Aucun d’applications compilateur n’est surlesserveurs installé ronnement graphique, d’outils de dévelo authconfig --enableshadow --enablemd5 --enableshadow authconfig --high firewall $1$ýEöó8æÌK$AvsTl13hnwcEuBGMSK8WO0 --iscrypted rootpw dhcp eth0 --bootproto --device network skipx psaux --device generic3ps/2 mouse fr keyboard en_US.UTF-8 en_US.UTF-8 --default langsupport en_US lang install anaconda. by generated automatically file # Kickstart ###################################################### # travail de poste - profil KickStart # fichier ###################################################### X 255.255.255.0 --netmask 192.168.1.99 --ip static eth0 --bootproto --device network skipx psaux --device generic3ps/2 mouse fr keyboard en_US.UTF-8 en_US.UTF-8 --default langsupport en_US lang install anaconda. by generated automatically file # Kickstart ###################################################### # serveur - profil KickStart # fichier ###################################################### %post %packages --grow --size=1 ext3 --fstype / part --size=256 swap part --size=128 ext3 --fstype /tmp part --size=128 ext3 --fstype part /boot --all clearpart towork # guaranteed not is this first, partitions all clear you unless so # here expressed not are deleted you partitions any that # Note requested you information partition the is following # The --md5pass=$1$AUôBºµ9Þ$s.41wZbdILEw/cm.zu9Z3/ --location=mbr bootloader Europe/Paris timezone --enablemd5 --enableshadow authconfig --dhcp --high firewall $1$ùªäÏÔïÍÎ$UGLO4pbdH6PvYq2icErHi/ --iscrypted rootpw --gateway 192.168.1.254 --nameserver 192.168.1.11 –-hostname mynewserver –-hostname 192.168.1.11 --nameserver 192.168.1.254 --gateway ppement et d’outils deproductivité. ppement etd’outils 71

5 – Sécurisation des systèmes Les Cahiers de l’Admin – Sécuriser un réseau Linux .../... xawtv openssh-askpass gimp-print-utils patchutils cdp gnome-system-monitor gdm automake15 automake14 fetchmail ImageMagick gnome-media authconfig-gtk mrproject gnome-vfs-extras gtk-engines diffstat xsane indent cdparanoia xsane-gimp ltrace gtkam ggv firstboot xmms tk gnome-audio System Window X @ Internet Text-based @ Video and Sound @ Office/Productivity @ Development Kernel @ Graphics @ Internet Graphical @ Environment Desktop GNOME @ Tools Development @ %packages --grow --size=1 ext3 --fstype / part --size=128 ext3 --fstype /tmp part --size=256 swap part --size=128 ext3 --fstype /boot part –linux clearpart work to guaranteed not is this # first, partitions all clear you unless so here # expressed not are deleted you partitions any that Note # requested you information partition the is following The # X --md5pass=$1$Ä14uÑøöð$g9r/ --location=mbr bootloader Europe/Paris --utc timezone 72 6myWayVYJHqMxjUql. desktop-backgrounds-extra rhn-applet redhat-logviewer slrn gqview gconf-editor gedit redhat-config-printer-gui %post cdlabelgen gimp-data-extras gtoaster gaim redhat-switch-printer-gnome rcs redhat-config-users grip redhat-config-xfree86 gnome-user-docs gcc-java cvs netpbm-progs doxygen mtr-gtk redhat-config-network gtk2-engines libvorbis-devel evolution hwbrowser gnome-vfs2-extras gftp XFree86-xdm redhat-switchmail-gnome openoffice openssh-askpass-gnome splint mutt gcc-gnat redhat-config-services mozilla-psm xpdf dia hpijs file-roller sane-frontends gcc-g77 magicdev memprof xchat .../... © Groupe Eyrolles, 2005 © Groupe Eyrolles, 2005 Eyrolles, © Groupe site du partir Hat, le Red ladistribution Concernant 3). dela sociétéTamalo.comcas (chapitre co dela souvent àl’origine très est correctif d’un endépendetun retardla négligé, sécurité dans l’application celles qui vont suivre tout au long de la vie du système. Cela ne doit pas être installation estindispensable,sontaprès comme le mise àjour une En effet, appliquer.de les et d’exploitation système geant àmesure descomposants lesplusrécentesmisesàjourdechacun du l’administra donc à incombe (CDou DVD)lation de les contenant d’instal- lessupports éditeursde plus logiciels nefournissent aujourd’hui Les Mise àjourrégulière des systèmes sous lenomCopié surunedisquette de lors de l’invocation de la commande de l’invocation lors de (répertoire (répertoire simple, lacomparaison des effectuant administrateurs deTamalo.comLes ontpr mande suivantepourappliquer fichiers contenantdans cespaquetages suffitdecopierles depaquetagecorrespond RPM. auformat Il distribuées alto ussèe om emnr afgr 5-1. comme dusystème, lemontretallation lafigure paquetage). Hat en aitfaitun version detelou tel logicielest disponible (et celaévite d’attendre queRed Hat. Ceci permet notamment une plus grande réactivité quand une nouvelle tribution Linux Red dis- la dans fournis paquetages les que plutôt originales distributions les d’utiliser recommandé Pour lesproduits critiques comme lesapplications réseau(DNS, WEB, MAIL…),ilestfortement détecté dans un composant du système. êtresystématiquedoit etLa miseàjour immédiate quandunproblème de sécuritéaété RECOMMANDATIONS # rpm –Fvh *.rpm # –Fvh rpm /pub/redhat/linux/update/ Mises àjour... ftp.redhat.com ou à partirde tousse teur decompléter sonentéléchar- installation lesml e orcis: correctifs des l’ensemble mpromission de machine, le comme dans mpromission demachine, iu ks=floppy linux un répertoire puis d’exécuter lacom- puisd’exécuter un répertoire s mises à joursonttéléchargeables à s mises paquetages installé ks.cfg rnières mises à jourduIl système. ). Le format dans lequel elles sont dans lequelelles format ). Le is le temps de développer un outil un développer de le temps is , le fichier de profil est utilisé deprofil est fichier , le s sites miroirs officiels lors de la phase d’ins- phase la de lors s sur unsystème rpm –K –K rpm : fiant leurs signatures PGPavant installation par exempleenvéri- l’intégrité despaquetages Il convient de s’assurer de la provenance et de Figure 5–1 utilisant leprofilks.cfgutilisant unedisquette copiésur Lancement d’une installation d’uneinstallation Lancement R APPEL

IMPORTANT

5 – Sécurisation des systèmes Les Cahiers de l’Admin – Sécuriser un réseau Linux de RedHat. B Hat sontsur le site à jourdespaquetages Red Des informations utilessur laparution demises utile. mentaire vantune protection complé- le SETUPoffrira (par court-circuit)décharger labatteriepréser- trale, interdisant dedéconnecter ou de qu’elle stocke. Leverrouillage de l’unité cen- quette, clé USB...) pour accéder aux fichiers l’amorcergrâce àson propre support (CD, dis- accédant directement àlamachine afinde démarrage. Cela complique la tâche d’un pirate de danslalistedespériphériques d’exploitation le disq de nelaisserque tème stable et opérationnel, ilestrecommandé disque(s) installé(s) dansl’unité. Pour un sys- leCD-Romlecteur de etenfin le(ou les) par derecherche,ordre le de disquettes,lecteur engénéral incluent PC, SETUP d’un figuration Les paramètres d’amorçage, définis dans lacon- B : Présentation commerciale deRedHat Network B format de paquetage appelé . les rpm (ladistribution Debian utilise un autre L’ensemble APTaété adapté defaçonàgérer tiva, éditeurd’uneLinux. distribution 74 http://www.redhat.com/apps/support/ http://www.europe.redhat.com/ http://freshrpms.net/apt/ errata/index.html. software/rhen/ Périphériques d’amorçage ue contenantsystème le deb ) par Connec- deprovenance non déterminée, oùqu’ils bien au niveau du BIOS (figure 5-2), du gestionnaire d’amorçage, du gestionnaired’amorçage, 5-2), (figure duBIOS niveau au bien encumulantsystème, les différentes po ique. On informat peut protéger lesystème simplementle évalué metenpéril peuventteur système amener à dessitu phérique,de configur unemodification depéri- Un ajout définis. initialement manièreaux nonconforme objectifs de lematériel au maximum delimiter lapossibilitéd’utiliser aétédécidé Il par motdepasseaudémarrage L’indispensable protection modesteconsole d’administration. tance, flanquée d’une effe grâce àdespaquetagescertifiés de miseà jour nommées Red Hat NetworkRed Hatpropose unservice Mise àjouravec RedHatNetwork ilnefaut : Nous cependant insistons jour, à les versions abritant etla tages. Elle gère entre autres les dépe réputée, simplifieconsidérablement l’inst de programmes nomméssérie La APT, justement issuedeDebianetfort Mise àjouretinstalla téléchargement etl’installati le permet Red Hat. Cet outil avec lesmises à jourdisponibles sur unsitemiroir FTP Figure 5–2 Définition d’un mot de passe pour l’accè pour depasse mot d’un Définition tion optimaleavec APT vérification deleurssignatures. vérification ctuée quasiautomatiquement etàdis- ndances, les accès à denombreuxndances, lesaccès sites pas on des nouvelles versions des logiciels. versions des on desnouvelles ssibilités de restrictions d’accès, aussissibilités de restrictions d’accès, ations où le risque non correctement ation non validés parun administra- penser a priori que des rpm que publiés des rpm pensera priori setrouvent,soientfiablesnisûrs. allation et la mise à jour de paque- et lamiseàjour de allation s au panneau de configuration du BIOS s aupanneaudeconfiguration © Groupe Eyrolles, 2005 boot © Groupe Eyrolles, 2005 Eyrolles, © Groupe minimale. en configuration cette mise issue de àl’ activés restent tème d’exploitation, réseauSSH,ainsiquequelques service estprésentéedanscequi suit. serveur d’ minimale miseenconfiguration La deprocesseur,cycles à prendre. cequiesttoujoursbon delibérer celapermet quelques part, vices en moinssont autantde vulnérab autantdeser- : dusystème potentielle la sécurité part Cela augmente d’une y sy à a deux désactiver avantages Il LPRng était actif bi machin nombre de sur bon Ainsi, tion. étaient déma inutiles que desservices deTamalo administrateurssystème Les des servicesactifs Mise enconfiguration minimale,limitation loader pourrait sansmals’enrendre maître. vidu mal intentionnéà amor parvenant car, aucunede convient dene ces dispositions négliger Il tout à défaut, indi- doitdétenir. système nistrateur Cette restrictionsouven sefaitleplus Figure 5–3 modification des options par défaut du gestionnaire d’amorçage gestionnaire pardéfautdu desoptions modification en anglais (figure 5-3), que du 5-3), (figure enanglais Définition d’un mot de passe pour interdire la la interdire pour depasse d’unmot Définition en quenonutilisé. Sur les serveurs deTamalo.com, lesserveurs Sur seul le t par un mot de passe que seul l’admi- de passequeseul unmot t par rrés automatiquement aprèsl’installa- mégaoctetsdemémoire etquelques stématiquement les services inutiles. stématiquement lesservices une machineinstalléeavecunprofil ilités potentielles en moins. D’autre enmoins. potentielles ilités composants indispensablesdu sys- cer le système comme illesouhaite système le cer .comaperçus àleursdépens sesont ytm ’xliain(iue5-4). (figure d’exploitation système es, le service d’impression distant d’impression es, leservice Figure 5–4 du système d’exploitation lors de l’installation manuelle dusystème manuelle del’installation lors d’exploitation du système éiiind o epsed opeamnsrtu ot» root « administrateur compte du depasse dumot Définition tiles. va desoiqu’ilfaut supprimer ceuxquisont inu- Tout serviceétantpotentiellement dangereux, il À RETENIR

5 – Sécurisation des systèmes Les Cahiers de l’Admin – Sécuriser un réseau Linux 76 root 813 721 0 14:53 tty1 00:00:00 ps –edf ps 00:00:00 tty1 14:53 0 721 813 root –bash 00:00:01 tty1 14:15 0 713 721 root tty6 /sbin/mingetty 00:00:00 tty6 14:15 0 1 718 root tty5 /sbin/mingetty 00:00:00 tty5 14:15 0 1 717 root tty4 /sbin/mingetty 00:00:00 tty4 14:15 0 1 716 root tty3 /sbin/mingetty 00:00:00 tty3 14:15 0 1 715 root tty2 /sbin/mingetty 00:00:00 tty2 14:15 0 1 714 root root -- login 00:00:00 ? 14:15 0 1 713 root /usr/sbin/atd 00:00:00 ? 14:15 0 1 704 daemon -s anacron 00:00:00 ? 14:15 0 1 695 root crond 00:00:00 ? 14:15 0 1 686 root /dev/mouse -m ps/2 -t gpm 00:00:00 ? 14:15 0 1 677 root runner@01:00:00 Queue sendmail: 00:00:00 ? 14:15 1 0 667 smmsp connections accepting sendmail: ?00:00:01 1014:15 root 657 /usr/sbin/sshd 00:00:00 ? 14:15 0 1 634 root -P 5 -W -w 10 -p /usr/sbin/apmd 00:00:00 ? 14:15 0 1 584 root rpc.statd 00:00:00 ? 14:14 0 1 504 rpcuser portmap 00:00:00 ? 14:14 0 1 485 rpc -x klogd 00:00:00 ? 14:14 0 1 468 root 0 -m syslogd 00:00:00 ? 14:14 0 1 463 root [kjournald] 00:00:00 ? 14:14 0 1 165 root [kjournald] 00:00:00 ? 14:14 0 1 164 root [khubd] 00:00:00 ? 14:13 0 1 71 root [kjournald] 00:00:02 ? 14:13 0 1 16 root [mdrecoveryd] 00:00:00 ? 14:13 0 1 8 root [kupdated] 00:00:00 ? 14:13 0 1 7 root [bdflush] 00:00:00 ? 14:13 0 1 6 root [kswapd] 00:00:00 ? 14:13 0 1 5 root [ksoftirqd_CPU0] 00:00:00 ? 14:13 0 1 4 root [kapmd] 00:00:00 ? 14:13 0 1 3 root [keventd] 00:00:00 ? 14:13 0 1 2 root init 00:00:04 ? 14:13 0 0 1 root CMD TIME TTY STIME C PPID PID UID –edf # ps Liste desprocessus après défaut installation exécutéspar tiles. rais paraître peut l’installation après listedesprocessus encoursd’ex La processus des Identification male d’après le fichier de configuration deKickStart. deconfiguration lefichier d’après male soitmini- l’installation supposé être Cen’estque démarré. bien pas lecas, réseaun’est aucunautre être service utilisé.Eneffet, ne devrait autre port aucun SSH, sécurisé d’accès service le 22utilisé par du port À l’exception Identification des portsréseauutilisés Active Internet connections (servers and established) and (servers connections Internet Active –atup # netstat plusieurs sont inu- plusieurssont pourtant, ; onnable immédiatement écution surlesystème © Groupe Eyrolles, 2005 chacun d’eux pour les niveaux d’ex lesniveaux pour d’eux chacun © Groupe Eyrolles, 2005 Eyrolles, © Groupe Liste desservices réseau avec chkconfig fraîchement résultat installé.de la commande Le ce système bien tropnombreux sur –sont àuneattaqueextérieure nérables qui nesontpasdesse Même lesservices desservicesactifs Identification : sontsuivants lesouverts services Les • • • • nco :f :f :n3o :n5o 6:off 5:on 6:off 4:on 5:on 6:off 3:on 4:on 5:on 2:on 6:off 3:on 4:on 1:off 0:off anacron 5:on 2:on 3:on 1:off 6:off 0:off crond 4:on 2:on 1:off 5:on 3:on 6:off 0:off pcmcia 2:off 1:off 6:off 4:on 6:off 0:off rhnsd 5:on 5:off 5:on 3:on 4:on 4:off 2:off 3:off 4:on 1:off 3:on 6:off 2:off 6:off nfslock 0:off 1:off 5:off 3:on 2:on 6:off 5:on 6:off nfs 0:off 6:off 4:off 1:off 5:off 2:on 3:off 4:on iptables 0:off 4:off 5:on 1:off 5:on 6:off 2:off 3:off sendmail 0:off 1:off 3:on 4:on 4:on 2:off 5:on snmptrapd 0:off 1:off 2:on 3:on 3:on 4:on snmpd 0:off 6:off 1:off 6:off 2:off 6:off sshd 0:off 2:on 1:off 5:on 5:off 3:on 5:on kudzu 0:off 6:off 4:off 1:on 6:off 4:on 2:on 3:off 4:on keytable 0:off 1:off 5:on 2:off 5:on 3:on isdn 0:off 6:off 1:off 3:on 4:on 2:off 4:on irda 0:off 1:off 5:on 2:on 3:on autofs 0:off 6:off 1:off 3:on 6:off 4:on 2:off 6:off gpm 0:off 1:off 5:on 5:off 6:off 2:on 5:on 3:on atd 0:off 4:off 1:off 4:on 2:off 5:on 3:off 4:on apmd 0:off 6:off 1:off 6:off 2:off 3:on 4:on portmap 0:off 1:off 5:on 3:on 2:off 5:on saslauthd 0:off 1:off 3:on 4:on 2:on 4:on rawdevices 0:off 1:off 2:on 3:on random 0:off 1:off 3:on 2:off network 0:off 1:off 2:on netfs 0:off 1:off syslog 0:off ––list # chkconfig 485/portmap *:* *:sunrpc 0 0 udp 504/rpc.statd *:* *:1024 0 0 udp 657/sendmail LISTEN *:* mynewserver:smtp 0 0 tcp 634/sshd LISTEN *:* *:ssh 0 0 tcp 485/portmap LISTEN *:* *:sunrpc 0 0 tcp 504/rpc.statd LISTEN *:* *:1024 0 0 tcp name Address State PID/Program Address Foreign Local Send-Q Recv-Q Proto sendmail sshd portmap rpc.statd rcdr al tl otIPutil Procedure Call)etleport evc ecneindsat éuié; deconnexiondistantesécurisé service , , qui , lacorrespondancefournit entre le numéro RPC (Remote , service de messagerie électronique. demessagerie , service P ewr ttsMntr(tls a F); , RPCNetwork Monitor Status (utilisé par NFS) écution du système d’exploitation. d’exploitation. écution dusystème s néot a esrieRC; RPC isé enécouteparleservice rvices réseau –et réseau rvices chkconfig sont donc moins vul- moins donc sont donne l’état de l’état donne tème est configurable dans lefichier sys- du démarrage de niveau Le 3. niveau au d’exécution dusystème 5 Un postedetravail estnormalement enniveau système redémarrage : du 6 Niveau 6. mode multi-utilisateur : etaffichage 5 Niveau 5. utilisé non : 4 Niveau 4. : modes multi-utilisateurs 3 2 et Niveaux 3. : mode de maintenance mono- 1 Niveau 2. : arrêt systèmed’exploitation du 0 Niveau 1. inittab graphique utilisateur B.A.-BA B.A.-BA . du système Linux Niveaux d’exécution alors qu’un serveur est /etc/ 77

5 – Sécurisation des systèmes Les Cahiers de l’Admin – Sécuriser un réseau Linux quate deSendmail. ») et parune adé- configuration entrée desite Filtrage en de paquets IP(voir chapitre 7, « réseau, onlimitera l’exposition grâce àun filtre interactifs. Pour prévenir les attaques venant du interactif (shell), on désactiverales comptes unevenir attaqueutilisateur un depuis compte cron programmes (en particulier les travaux sous sagesdivers électroniquesexpédiéspar gerie (MTA, icisendmail) car ilvéhicule lesmes- lerouteur de messa- souhaitable desupprimer Dans la plupart des cas, il nesera pas possible ni serviceconf et sousSousX Window, RedHat9 invoquera on détaillée pour chacun. des services, panorama un description etune donné. donné. d’exécution niveau un à affectation arrêt, démarrage, : desservices configuration de viale 78 ) àl’administrateursystème. du Pour pré- de configuration serviceconf de configuration déconseillée sur lesserveurs Serviceconf Suppression duMTA A LTERNATIVE , interfaceextrêmementconvi-

Interface Interface offre en un coup d’œil Cette opération est réalisée pour les services Cette est pour les opération réalisée services les autres services indésirables, en indésirables, les autres services Ci-dessous, les résultatsdes commandes ». Sécurisation des services 6,« aupartie cours du chapitre du serveur, quandété aura le défini.Nousrôle decedernier aborderons cette pourront êtreréac des services Certains désactivation des services inutiles. desservices phaseaprès cette dedésactivation dusystème l’état tiver le service degestiotiver leservice sûrbien devosbesoins.dépendent Par Processusen configuration encours minimale aprèsmise d’exécution SSH estouvert)correspondant service au Ports 22 réseau mise enconfiguration réseauutilisés (seulleport après minimale et keytable nosmachines,seuls les Sur services Désactivation des Les services réseau services Les cas d’un portable), portable), d’un cas en cas d’utilisation d’un port infrarouge), port d’un d’utilisation cas en 3 2 1 root 81 0 14:13? 00:00:00[mdrecoveryd] root 71 0 14:13? 00:00:00[kupdated] root 61 0 14:13? 00:00:00[bdflush] root 51 0 14:13? 00:00:00[kswapd] root 41 0 14:13? 00:00:00[ksoftirqd_CPU0] root 31 0 14:13? 00:00:00[kapmd] root 21 0 14:13? 00:00:00[keventd] root 10 0 14:13? 00:00:04init UID PIDPPID C STIMETTY TIMECMD –edf # ps tcp 0*:ssh *:* LISTEN 634/sshd Proto Recv-Q Send-QLocal AddressForeign Address State PID/Program name Active Internet connections (servers andestablished) # netstat -atup # netstat netfs upeso usried atbed ofgrto : delatableconfiguration duservice Suppression : d’exploitation Désactivation dusystème auredémarrage Arrêt immédiat du service : service du immédiat Arrêt # service autofs stop stop autofs # service autofs --del # chkconfig off autofs 0123456 # chkconfig--level . , kudzu , sshd rhnsd rpc.statd , n d’alimentation électrique électrique n d’alimentation iptables services inutiles , nfslock , autofs uiiatl rcdr uvne: procédure utilisantla suivante et , nfs crond syslog et exemple, il sera exemple, ilsera recommandé de réac- tivés lors de la phase de configuration de phase lors dela tivés , snmpd ps portmap autofs doivent rester actifs. Cesservices doiventrester actifs. , , netstat network anacron , snmptrapd , sont désactivés, ainsi que gpm apmd © Groupe Eyrolles, 2005 et , , , random pcmcia portmap sur un portable. chkconfig , isdn , (sauf dans le rawdevices , , saslauthd irda donnent (sauf , © Groupe Eyrolles, 2005 Eyrolles, © Groupe debon nombre compromissions. de est àl’origine mémoire, de débordement de possibilité comme la programmes, de certains combinées etdelamauvaise de cespermissions particulière implémentation constituent égalementune » sgid » et,dans une moindre mesure, celle du« suid droits de protection « attaque.L’utilisation lorsd’une enpéril peut mettre lesystème excessivedes L’accèstropfois permissifs. ou àuneinformation à une commande sensible de droits positionnéssurl’ensemble Les Permissions desfichiers Sécurisation dusystèmedefichiers s’agitde tableau. Il Pourun un profilde travail, deposte différents des mise enconfigurationÉtat servicesaprès minimale fonctionnement deXWindow. rn :f :f :n3o :n5o 6:off 6:off 5:on 6:off 5:on 4:on 5:on 6:off 4:on 6:off 3:on 4:on 5:on 5:on 3:on 2:on 6:off 1:off 3:on 4:on 6:off 4:on 2:on crond 0:off 1:off 5:on 6:off 2:on 5:on 3:on 3:on iptables 0:off 1:off 6:off 4:on 2:off 5:on 4:on sshd 0:off 2:on 1:off 5:on 3:on 4:on kudzu 0:off 1:on 3:on 2:off 4:on keytable 0:off 1:off 3:on 2:on rawdevices 0:off 1:off 3:on 2:on random 0:off 1:off 2:on network 0:off 1:off syslog 0:off –-list # chkconfig root 718 1014:15tty6 00:00:00/sbin/mingetty tty6 root 717 1014:15tty5 00:00:00/sbin/mingetty tty5 root 716 1014:15tty4 00:00:00/sbin/mingetty tty4 root 715 1014:15tty3 00:00:00/sbin/mingetty tty3 root 714 1014:15tty2 00:00:00/sbin/mingetty tty2 root 713 1014:15? 00:00:00login --root root 686 1014:15? 00:00:00crond root 634 1014:15? 00:00:00/usr/sbin/sshd root 468 1014:14? 00:00:00klogd -x root 463 1014:14? 00:00:00syslogd -m0 root 165 1014:14? 00:00:00[kjournald] root 164 1014:14? 00:00:00[kjournald] root 71 1014:13? 00:00:00[khubd] root 16 1014:13? 00:00:02[kjournald] xfs , le serveur de polices de caractères nécessairecaractères au de polices de , leserveur cause de vulnérabilité importante. L’exploitation importante. devulnérabilité cause service supplémentairedans ce apparaît service s fichiers et des répertoires sont par- B B B peut s’avérer parfois longue et difficile. blème, laréparation d’un telsystèmedefichiers fichiers. Attention néanmoins, en casde pro- d’outils permet lechiffrement dusystèmede matériel oul’accès Unéventail frauduleux. offrent unebonne protection contre levolde d’utiliser desmoyenssécurisé destockage qui données commetrèscritique, ilest possible Pourqui considère celui laconfidentialité deses http://koeln.ccc.de/archiv/drt/crypto/ http://tldp.org/HOWTO/Cryptoloop- http://encryptionhowto.sourceforge.net/ linux-disk.html HOWTO/ Systèmes de fichiers chiffrés ALLER PLUS LOIN 79

5 – Sécurisation des systèmes Les Cahiers de l’Admin – Sécuriser un réseau Linux sateur ( d’utili-par unidentificateurest définieidentité l’identité del’utilisateur quil’alancé. Cette n’est positionné,programmeestexécuté sous le etnonles scripts. pour aucunSi desdeux droits sera réalisée. Cecinevautbinairespour que les tité sous laquelle l’exécution d’un programme quement lebitd’exécution. d’écrire (droit l’administrateursystème. du commande La bles etmodifiablesenthéorieseulement par nique accéder àdesinformations sensibles, lisi- utilisateur non privilégié peut par cette tech- du du 28 2002 28 2002 /usr/bin/passwd May 15368 root 1root -r-s--x--x /usr/bin/passwd -l # ls ( cesinformations root oùseulécrire peut parce qu’elle doit écrire dans les fichiers abritant passwd gid Ces droits particuliers (droits (triplet fichier du dentaux permissions données aupropriétaire sont composées detrois triplets qui correspon- Les protections Unix positionnées sur un fichier ( monde (triplet priétaire (triplet passe d’un compte est dotée du droit tité composée du tionné, leprogramme est donne ou non l’autorisation delire(droit L’utilisation du /etc/passwd gid 80 gid du groupe propriétaireprogramme. du Un ). Si à l’inverse). Siledroit suid et sgid des exécutables des sgid et suid del’utilisateur appelant le programme. uid permettantde mot dechanger le B.A.-BA B.A.-BA B.A.-BA ) etunidentificateurdegroupe ) w sgid o ) etd’exécuter(droit g pour Permissions Unix Permissions , etc.). u pour pour uid Droits spéciaux pour pour permet l’exécution sous le propriétairedu fichier et others group exécutésous uneiden- user Ils définissent l’iden- Ilsdéfinissent s ), augroupe pro- ). Chaquetriplet ) concernent uni- ) concernent ) et aureste du suid x est posi- ) le fichier.) le suid r ), (communs) Notons quetouslesutilisateursdoiven Il faut limiter au maximum l’utilisation du droit dudroit aumaximum l’utilisation fautlimiter Il faille. appartient à un compte privilégié comme le compte administrateur administrateur compte comme le privilégié compte àun appartient mer. appelé le suppri est et modifier peutle fichier particulier Cedroit utilisationDe nombreuses l’ des attaquesdétournent droits particuliers Droits suidetsgid lesquels lesprotections pourraient être Voiciensemble decommandes un permet Détection desfichiers dotés et bit bénéficie du bénéficie été prévues. Cettemissionincombe qui ont auprogramme elles lesquelles pour conditions les dans utilisation leur ces droitsafindegarantir tion de decontrôler l’utilisa- est impératif aux ressourcesprivilégiés Il dusystème. ehrh e ihesdtsd ri ud»: » suid Recherchedotés dudroit desfichiers « être endotés. quelquesprogrammes devraient Seuls niu idsos: indiqué ci-dessous • Répertoires en écriture pour le groupe pourle enécriture Répertoires • pourtous enécriture Répertoires • le groupe pour enécriture Fichiers • tous pour enécriture Fichiers • # find / / # find drwxrwxrw # ls–ld /var/tmp drwxrwxrw # ls–ld /tmp –ls –g+w –perm d –type / find # –ls –o+w –perm d –type / find # –ls –g+w –perm f –type / find # –ls –o+w –perm f –type / find # (droit sgid positionnés sur des fichiers de programmes pour obtenir desaccès positionnéspour surdesfichiersdeprogrammes t ) etdoitêtre at impérativement /tmp - 10root root4096Jun 24 12:40/var/tmp 24 root4096Jun t10root 17:33/tmp 24 root4096Jun t10root suid perm et ou - /var/tmp 00–yef –type 4000 sgid ; celui-cinedoitpas,parconséquent, présenterde avec la restriction queseullepropriétaire d’un aveclarestriction de droits trop permissifs - ls considérées commetrop permissives. t pouvoir écrire danslesrépertoires t pouvoirécrire tribué à de tels répertoires comme à detelsrépertoires tribué tant de détecter les fichiers pour fichiers les de détecter tant © Groupe Eyrolles, 2005 suid lorsquelefichier root sticky suid . Le programme programme Le mandes possédantcetteprotection sp ad uvne: suivante mande mande mande © Groupe Eyrolles, 2005 Eyrolles, © Groupe rh2.tamalo.com sudoers deconfiguration lefichier notamment d’éditer permet programme Le :sudo Alternative àlaprotection suid : » sgid Recherche desfichiers dotés du droit « programmes. En effet, Eneffet, programmes. Lorsque que Lorsque étant certain que personne d’autre ne l’édite au même moment. Le fichier aumêmemoment. Le ne l’édite d’autre quepersonne étant certain celle de l’administrateur unecommande une machined’exécuter de la machine. Le programme doté du droit dudroit doté est une excellente alternative aupo une excellentealternative est # sudo /usr/sbin/xcdroast # sudo /usr/sbin/xcdroast =NOPASSWD: rh2.tamalo.com bernard deCDsur rh2 legraveur àutiliser autorisé est # bernard now -h localhost=/sbin/shutdown # %users /cdrom /cdrom,/sbin/umount ALL=/sbin/mount # %users # Samples ALL ALL=(ALL)NOPASSWD: # %wheel password a without thing # Same ALL=(ALL)ALL # %wheel commands all run to wheel group in people allow to # Uncomment ALL ALL=(ALL) root specification privilege # User specification # Defaults specification alias # Cmnd specification alias # User specification alias # Host # file. a sudoers write to how on details the for page man sudoers the # See # root. as command 'visudo' the with edited be MUST file # This # file. # sudoers / # find donné ci-dessous autorise l’utilisateur l’utilisateur donné ci-dessousautorise /usr/sbin/xcdroast - perm bernard suid sudo sn vi ori emtd as : de motdepasse sansavoiràfournir sudo . Son utilisation permet de restreindre lenombre de com- - 2000 2000 , disponibletoutes le dans est très facile à configurer. Lacommande veut graver un CD, veut graver appelle il sudo - type f f type permet dedéléguerledroitàunutilisateursur permet avec les droits lesdroits avec sitionnement de la protection delaprotection sitionnement - ls éciale et d’en limiterlesaccès. et d’en éciale sous uneautre identité,ycompris s bonnes distributions Linux, s bonnes distributions bernard root xcdroast sur la machine sur à exécuterlacom- sudo /etc/sudoers estlui-même avec la la com- avec suid visudo sur les sur en 81

5 – Sécurisation des systèmes Les Cahiers de l’Admin – Sécuriser un réseau Linux haute sécurité, des pseudo-terminaux vialesquelsl’utilisateur trateursystème. du l’adminis-passe de aussimotde critiqueque le fairetransiter sur leréseau uneinformation du réseau.de Celapermetd’éviternonà partir necter qu’àpartirdelaconsoledusystèmeet root Le fichier 82 peut se connecter. En situation de très B ON privilégié avec securetty avec privilégié

À /etc/securetty

SAVOIR root

Limitation del’accès ne devrait pouvoir se con- pouvoir devrait ne définit laliste osqec : conséquence est effectué avec l’option avecl’option est effectué Le répertoire personnel personnel répertoire Le tage du système defi tage dusystème même. ensuite ouvrir l’utilisation desservices l’utilisation ensuite ouvrir est aucontraire de systématiquement par défaut,toutestpe une installation gestiondesaccèsauxdifférentes AvecestLa capitale. ressourcessystème du sécurité Gestion desaccèsetstratégie localede suid de protection Pour del’attribut dotés desprogrammes interdire l’utilisation Options demontagedessystèmesfichiers Le compte Compte privilégiéroot mandes) appartenant à l’utilisateur l’utilisateur à mandes) appartenant cette protection spéciale. Le programme pourvu du droit pourvu programme cette protection spéciale.Le bloq de effet apour Cela fichiers. de accessible enécriture nien lect de fichiers de fichiers Dans desle cas machines de lasoci malveillante. d’initiative Les pirates ont souvent pour piratesont Les pas souscelledu propriétairedu fichier. exécutétème defichiers sous sera l’id simples permettentd’au sa compromission précautions peutavoirdescons Quelques équences graves. doivent lui système a administrateurs Les • Les options de montage du système de fichiers fichiers de système optionsdemontage du Les • • Il de faut modifierles montage de attributs Il • LABEL=/tmp /tmp ext3 nosuid 12 ext3 nosuid /tmp LABEL=/tmp 1 2 ext3 defaults /tmp LABEL=/tmp l’option , il est possible de positionner l’option , il est possibledepositionner l’option /tmp root nosuid et les systèmes defichierscontenant des données etlessystèmes utilisateurs est le compte administrateur compte administrateur estle : chiers avec l’option chiers avecl’option gmenter la sécurité d’utilisation du compte d’utilisation sécurité la gmenter /root nosuid objectif de lancerun objectif ( ure pourtouteautre que personne . Le contenude . Le home directory été Tamalo.com, lemontage du système root lorsquelesbesoins s’enfont sentir. entité de l’utilisateur appelant,etnon entité del’utilisateur rmis ou presque. Une bonne politique uer l’interprétation par le système de lesystème par l’interprétation uer limiter les accès aumaximum, lesaccès pour limiter et pourvu du droit et pourvu ccorderplus grandeattention la car nosuid nosuid par défaut sur le système Linux. par défautsurlesystème en anglais) ne doit pasêtre permet de contrer ce genre /etc/fstab /tmp /tmp shell au montage d’un système montage au d’un © Groupe Eyrolles, 2005 sn elsprdfu : par défaut sontcelles (interpréteur decom- (interpréteur de manière de àinclure suid suid estmodifiéen suruntelsys- root . Le mon- . Le root . lui- © Groupe Eyrolles, 2005 Eyrolles, © Groupe serveurs surl’ensemblesdes Fichier /etc/hosts.allow sur l’ensembledesmachines Fichier /etc/hosts.deny /etc/hosts.allow SSH de la machine en modifi exemple, ilestpossibledefiltrer le Par ses fonctionnalités. utilisent réseau desservices et lamajorité Linux desdistributions estintégréeàlaplupart Elle applicatif. réseau auniveau TCP Wrapper estunebibliothèqueperm Filtrage réseau avec TCPWrapper root À interactive. utilisésdefaçon d’être n’ont et paspourvocation des comptes à d’applications plupart dent pourla denomb dusystème, À l’installation Blocage des comptes inutiles /sbin demodifiersespropres fichiers( l’administrateur masquedeprotection nedoitpermettre pourlacréation qu’à desfichiers Le services de la machine enprovenance dela detoutes( services L’activité deTCP Wrapper estenvoyée syslog. dejournal danslesystème être positionnéà Debian). hosts.deny sera nécessaire d’intervenir surlefichier sera nécessaired’intervenir rendre de nouveau accessibleslesserv .bash_profile Enfin, le contenu de la variable variable la contenude Enfin, le risée par défaut. Les mots-clés mots-clés défaut.Les par risée êtredoit auto- réseau ne aucuneconnexion qu’après phase la d’installation, 127.0.0.1 192.168.155.0/255.255.255.0, 192.168.154.0/255.255.255.0, sshd: interne. # bouclage de l’adresse de et Tamalo.com de internes # réseaux des provenance en SSH connexions les # Autorise & [email protected]) alert" "tcpd -s |/bin/mail %c" from connection refuses "%s (echo spawn ALL:ALL refusée. # connexion de tentative d’une lors d’alerte électronique # courrier un envoie et défaut par connexions les toutes # Interdit est un compte de connexion. Le de connexion.compte Le estun et /usr/sbin . On refuse. donc( connexions àdestinationdetous les est volontairement limité aux répertoires aux répertoires estvolontairement limité . Les administrateurs système deTamalo.com système administrateurs . Les estiment /sbin/nologin . ant lecontenu des fichiers L :ALL ALL (sousRed Hat) ou s connexions à destination du serveur du àdestination s connexions reux comptes sont créés. Ils correspon- Ils reuxcréés. comptes sont PATH ce stade, seul le compte administrateur ce stade, seulle ices réseau utilisant TCPices réseauutilisant Wrapper, il shell /etc/hosts.allow sont donc ajoutés au fichier fichier au ajoutés donc sont définie dans le fichier le définiedans ettant de filtrer les connexions les de filtrer ettant de tous les autres detous comptes doit ms 022 umask :ALL ) les machines. Pour) lesmachines. /etc/hosts.deny /bin/false . /bin ou mieux , /usr/bin ALL: /root/ (sous /etc/ 077 ) les et ). , vaillant sous le compte Si maintenant l’administrateur système tra- peu d’intérêt. privilègeparticulier, cettecommande présente frappe et appelle la commande commande la et appelle frappe mal intentionné peut créer une commande toires écriture. Ilfautéviter enparticulier lesréper- répertoires où les utilisateurs n’ont pasaccès en système (commande shell more /tmp/moer /tmp Supposons que B Unix serveur Internet services réseaugérésparle aux trèsconnu les accès pour permettre defiltrer sonstabilité succès.fait ont est notamment Il simplicité etsa Linux. Sa distributions partie des Zweitze Venema.est intégréàlamajeure Il développé dans lesannées1990 par Wietse TCP Wrapper estunde filtrage outil applicatif PATH /tmp pirate aurarépertoirele miseenplacedans présente surlesystème, c’est-à-dire celle quele Voilà pourquoila variable d’environnement lui, effacél’ensemble système. du http://www.porcupine.org/wietse inetd d’environnement PATH deroot , ilexécuterala seulecommande dans sa variable de . L’administrateur aura ainsi, bien malgré /tmp root et . O qui supprime tous les fichiers du UTILS DANGER DANGER . (point). ne doit pointer quesur des root

TCPWrapper Variable Variable ait mis lerépertoire root PATH m–f/* –rf rm fait une fautede moer . Unutilisateur au lieu de ). Sans moer 83

5 – Sécurisation des systèmes Les Cahiers de l’Admin – Sécuriser un réseau Linux le contenu du fichier vérifications. devérifier soin donc prendra On mener à intervalles réguliers despurgesou par exemple déploient, lisateur qu’ils afin de ses dépendances (cequi s’y trouvecité). déployer une Certains paquetageslogiciels peuvent A 84 TTENTION

crontab /etc/crontab pour les comptes uti- et de et fin. Le démon fin. Le lors de cette mise en lors decettemise Il est également prudent de vérifier les permissions des répertoires répertoires des les permissions de vérifier est égalementprudent Il fier danslefichier syslog. Son fichier deconfiguration fichier syslog. Son IP192.168.154.250 jouelerôledecentraliseur machined’adresse La soient également surune centralisés machine du réseau Tamalo.com. directiv ladernière e aétéajoutéemessages Seule pourqueles complet. Le service syslog Le service cron syslog Configuration desservicessystèmecron et configuration estlesuivant. du démonsyslogd Pour de syslog, lefichier de ducentraliseur l’exception toutes les machinesà du réseau. machines en provenancedes journaux d’autres pas contenir la directive directive la contenir pas par le noyau système ou les services actifs ( actifs par lenoyau oulesservices système ou de centralisersur une machine unique, les messages quiluisont envoyés offretèmes Unix. lapossibilitéd’ Il but de n’autoriserbut de quelecompte administrateur utiliser.l’ peuvent le système définisprocédure sur teurs La quipour suita Par régulièrestratives noninteractives. cron.hourly Le fichier de configuration configuration de fichier Le du système. et àl’administration surveillance la indispensable à est Ceservice d’urgence. tuer unaiguillageenfonction de l’or séder les droits d’écriture, séderles droits d’écriture, de leurcontenu et du fichier # rm–f/etc/cron.deny 400 /etc/cron.allow # chmod /etc/cron.allow root:root # chown /etc/cron.allow > root echo # 022 # umask cron syslog , /etc/cron.daily syslogd estutiliséàTamalo.com pourexécuter des tâchesadminis- fait partie des rares faitpartie servic /etc/sysconfig/syslog configuration minimale. minimale. configuration doit y être également lancé avec l’option doityêtre également lancé avecl’option @192.168.154.250 de lecture etd’exécution. /etc/syslog.conf /etc/crontab , /etc/cron.weekly archiver localement sur chaque machine, /etc/syslog.conf igine des messages et de leur caractère messages etdeleur igine des défaut à l’installation, touslesutilisa- défaut àl’installation, crond . Seul l’utilisateur l’utilisateur . Seul pour éviter des bouclages sans éviter desbouclages pour ), afin d’autoriser laréception d’autoriser ), afin es quin’ont pasétédésactivés syslog créé à l’installation est assez est àl’installation créé root , sshd © Groupe Eyrolles, 2005 à utiliser ce service. gère le journal des sys- , …). Il permet d’effec- permet Il …). ne doit évidemment nedoit /etc/cron.monthly root -r doit pos- doit (àmodi- /etc/ , om nl otsrl iue5-5, la passerelle par défaut de la machine Comme on le voit sur la figure réseauxlocaux. de non ausein les utilisésdans sont engénéral Ils routeur qu’ilchemin pluscour yaun tion pour pallier lelaxismede pallier tion pour Nous allons des énumérer l’ensemble © Groupe Eyrolles, 2005 Eyrolles, © Groupe B routeur client.tamalo.com butdesmessages Le RedirectICMP Ignorer ICMP messages certains deconfiguration modifiant lecontenudufichier Sous Red Hat, la configuration hélas troppermissifs. de la coucheprendre nativementencharge beaucoup réseau IP de le souvent le cas, Commetielles. c’est Linux se fait en modifiés demanière àenrenforcer la Certains paramètres deConfiguration sécuriséedelapileTCP/IP la configurat syslogd configurationdu démon Fichier de *.info; @192.168.154.250 *.info; server. syslog remote our to higher or info level of anything # Log /var/log/boot.log local7.* boot.log to also messages boot # Save uucp,news.crit/var/log/spooler file. special a in higher * and crit level of errors news # Save *.emerg /var/log/cron messages emergency gets # Everybody cron.* /var/log/maillog stuff # cron Log mail.* inone place. mail messages # all the Log authpriv.*/var/log/secure access. restricted has file authpriv # The /var/log/messages *.info;mail.none;authpriv.none;cron.none messages! authentication private log # Don't higher. or info level of mail) (except anything # Log /dev/console #kern.* screen. the up clutters else much # Logging console. the to messages kernel all # Log afin de sortir vers Internet. Internet. vers afin de sortir pointe sur sur pointe ICMP Redirect ICMP la configuration par défaut. par configuration la otu A routeur réseaux d’interconnexion de routeurs et derouteurs d’interconnexion réseaux t pour joindret pour unedestination donnée. ion doiventêtre réseauIPdu système est d’indiquer à une machine ou à un àunemachineou est d’indiquer s paramètres par défaut permettent de permettent pardéfaut s paramètres paramètresnécessitant unemodifica- robustesse vis-à-vis d’attaques poten- robustesse vis-à-visd’attaques de fonctionnalités, mais ilssont , quifait suivre touslespaquetsà /etc/sysctl.conf . trôle. couche réseau par l’envoi de messages de con- plutôt larégulationdu fonctionnement de la Son butn’estdes données, pas letransport mais IP.réseau couche la de contrôle de protocole un est Protocol), Message Control (Internet ICMP B.A.-BA conf/all/log_martians > /proc/sys/net/ipv4/ "1" echo : que contenu de /procgrâce à unecommande telle Sous d’autres distributions, on manipulera le A LTERNATIVE InternetControl Message Protocol

Ate itiuin :/proc Autres distributions 85

5 – Sécurisation des systèmes Les Cahiers de l’Admin – Sécuriser un réseau Linux 86 client.tamalo.com Redirect ICMP client.tamalo.com entre une pendant connexion échangés que snifferlespaquets veuille l’un d’eux malveillantes des fins L’ICMP Redirect peutfaci DANGER rique est qualifié de MiM, de l’anglais rique estqualifiédeMiM, géné- d’attaque assez !Cetype modifier les ou mêmede contenu le visualiser d’en bilité possi- la aupassage enayant destination, leur Ce dernier va ensuite relayer ces paquets vers par détournés donc être www.mabanque.com à paquets destinés vont acceptent les les acceptent machine. detamalo.com lesmachines Si www.mabanque.com à consiste passer par sa d’entrée queleplusco banque.com. un message d’envoyer lui suffit Il et Man in the Middle attack Mne ?)in the MiddleAttack (Monkey ICMPRedirect CPRedirect ICMP indiquant à indiquant par un pirate. Supposons urt chemin pour joindre pour chemin urt lement être exploité à exploité être lement la machine dupirate. ou àson routeur www.ma et CPRedirect ICMP Figure 5–5 , tous les , tous . Man que Quand chemin plus court quedepasserpar chemin pluscourt lui indiquer d’envoyer sespaquetsdirectementà lui indiquerd’envoyer 2 : --->www.mabanque.com IDENT, PASSWORD Gateway : ROUTEUR A Gateway : ROUTEUR A Client.tamalo.com client.tamalo.com Client.tamalo.com otu B routeur p irate.net Figure 5–6 reçoit les paquets, il constate qu’il est sur le même réseau POWER FAULT 1: ICMPredirect: www.mabanque.com ->pirate.net DATA ALARM . Il luienvoiedoncunpaquet . Il 3 : --->www.mabanque.com IDENT, PASSWORD Man in the Middle attack (MiM) Middle attack inthe Man POWER FAULT DATA ALARM ROUTEUR B POWER otu A routeur POWER FAULT DATA FAULT ALARM DATA POWER ALARM FAULT DATA ALARM ROUTEUR C . POWER FAULT DATA ALARM ROUTEUR B otu B routeur © Groupe Eyrolles, 2005 ROUTEUR A ROUTEUR A CPRedirect ICMP

ROUTEUR C www.mabanque.com , cequiestun www.google.co pour m qu’un nombre limité de paquets ICMP de type ICMPtype qu’un de paquets nombre limité Cette commande demande à IPtablesde machine). enfoncti paquets parseconde(déterminé en aparté. Pouren aparté. cela, les lignessuivan © Groupe Eyrolles, 2005 Eyrolles, © Groupe IPde destination du paquet qui était alors l’adresse modifie Il tination finale. paquet quiluiest explicitem le ouvrant autreune machine,routeur à unCedernier, engénéral. l’adressant en machineen despaquetsàdestination d’une necté auréseaud’envoyer routagepar lasourceun mé est Le Interdiction dusource routing ICMP Ignore BogusResponse paquets Les request Echo ICMP /etc/sysctl.conf Redirect ICMP latotalitédes del’ systèmes Sur doit être d’ignorer ( êtredoit d’ignorer le trafic entrant toléré tandis que la bien entenduêtredoit Cette acco règle possible de spécifier grâceau possible despécifier préfère àcette nepasrecourir l’on Si tenu du fichier de configuration deconfiguration du fichier tenu requêtes. Comme précéd pourleparamètre est possible de dé Il déni deservice. être cas, utiliséspour dans certains X limit -m echo-request --icmp-type icmp -p INPUT -A iptables 1 = net.ipv4.icmp_echo_ignore_all = 1 net.ipv4.icmp_echo_ignore_broadcasts message request Echo ICMP # Ignore 0 = net.ipv4.conf.all.accept_redirects message Redirect ICMP # Ignore net.ipv4.icmp_ignore_bogus_error_responses = 1 = net.ipv4.icmp_ignore_bogus_error_responses them. to response drop # so forbidden, is frame broadcast a to replies error ICMP sending # RFC's --limit 8/s -j ACCEPT -j 8/s --limit ICMP Echo request Echo ICMP sont ignorés pour éviter les attaques de type MiM sont ignorésdécrites pour éviterlesattaques de type après l’installation du système. aprèsl’installation drop ) le paquetIP.) threshold /etc/sysctl.conf envoyés lacommande par scanner un réseau ou pour provoquer un réseauoupour un scanner canisme permettant à un système con- permettant à unsystème canisme tuedrir èl o oiiu ») politique toutedernière règle(ou« tes sont ajoutées au contenu du fichier du tes sontajoutéesaucontenu entreprise Tamalo.com, lespaquets solution pourlemoinsextrême, ilest mpagnée d’autres règles qui acceptent règlesqui mpagnée d’autres ent envoyé, dedes- y trouve l’adresse sactiver la prise encomptedeces laprise sactiver on des capacités du réseau et de la d’IPtables unseuildequelques d’IPtables créer créer une règle pour n’accepter ent, il s’agit de modifier lecon- echo-request . ping par par seconde. peuvent, hpte6. chapitre La sécurisation des services réseau est traitée au le filtrage de paquets au chapitre 8. Nous verrons comment configurer IPtablespour eéarg ussèe! redémarrage du système Cette modification n’est effective qu’aprèsle A TTENTION

5 – Sécurisation des systèmes Les Cahiers de l’Admin – Sécuriser un réseau Linux 88 les attaques de type les attaques de type réseaudunoyau couche La Linux également permet de se défendre contre celan’apour laplupart deconséquence. pasvraiment mêmesi Tamalo.com machines, des surl’ensemble l’inclure de décidé ont derout office fait machine Linuxqui L’activation spoofing. de ques par IP L’ flooding SYN spoofing et Protection contre lesattaquesIP unproblèmeconfiguration général de il est utiledegarder une decespaquets,trace quirévèlent en d’entrée, adresse source falsifiéeounonroutable sur uneinte paquet arrive un Quand ! Surveillance desmartiens de réseaux. de machin est désactivésur l’ensemble société Tamalo.com,destinataire.la de Dans lecas le routage parla source la sienne parcette nouvelle adresse, le le paquet réseauvers puis achemine tcp_syncookies société sont configuréespour société d’exploitation, paralysant ainsi l’activité de ce dernier.de ce paramètre Le l’activité ainsi paralysant d’exploitation, debut saturertabledesconnexionsdelacoucheréseaudusystème le la quantitéderequêtesgrande d’ouvertur cible, machine la sur deservice déni paquet IP de toutes pièces ( paquet IPdetoutes Le paramètre ilfaut ment anormale, votre réseau mais arbore uneadresse source interne, situationbienévidem- de lepaquetvient del’extérieur passer la barrière desfiltres réseau.Lorsque net.ipv4.tcp_syncookies = 1 = net.ipv4.tcp_syncookies tcp_syncookies # Enabling =1 net.ipv4.conf.all.rp_filter detection spoofing address # Enabling 1 = net.ipv4.conf.all.log_martians interfaces network all for martian of loggig Enabling # 0 = net.ipv4.conf.all.accept_source_route routing source # Disabling Pspoofing IP est une technique d’attaque réseauquiconsisteàcréerun d’attaque estunetechnique rp_filter agit sur la Toutesprotection dusystème. les dela machines Y flood SYN pouvoir le filtrer. le pouvoir permet d’éviter dans une certaine mesure lesatta- certaine une dans d’éviter permet forge activer cette protection. cette activer . Ces attaques, dont le but est de provoquerde Ces dontlebutest un . attaques, ), avecuneadresse so eur. Par défaut, de lesadministrateurs réseau ouunetentativedepiratage. rface réseau d’une machineavecune d’une réseau rface e de connexions TCP sans suite,dans fonctionnent en envoyant une très fonctionnentenenvoyantune ce paramètre estobligatoire surune , il est appelé martien. Sur lerouteur Sur , ilest appelé martien. es et principalement surles routeurs es etprincipalement © Groupe Eyrolles, 2005 urce falsifiéeafin de que lors de l’installation, l’option l’option l’installation, de que lors pa défenseréseauinitiée la compléter hpte8 éuie ersa ’nrpie». leréseaud’entreprise Sécuriser « 8, chapitre approfondie sera au dufiltrage configuration La minimale. configuration permet de définir un filtrage KickStart, les stations,menacentlastabilité du noyau ainsimodifié. pilote certains aupréalablecar testera la et on auxserveurs intéressante exposées.Onlaréservera des machines sur Certains Certains télécharger puisemployer unemodi Mieux vautnepasaccorderapriori © Groupe Eyrolles, 2005 Eyrolles, © Groupe duréseau. detravail postes 6000, pour recevoir écouteport surle X11 n’estchapitre figure 4,4-10). Il pas nécessaireserveur donc quele requête d’af d’une redirigeant l’ensemble X11 en du protocole lesdéficiences moyenun excellent SSH est depallier session d’une copies d’écran réaliser des de passe.Cert mot saisie d’un comme la grap session une d’espionner à distance,d’affichage permettrait aisément à un individu malintentionné, matière défauts en quelques desécurité. pa du évoqué aucours Comme a été cela 6000 (figure 5-7). TCP port le autre.X écoutesur Pour console vidéod’une serveur cela, un du oùelleestexécutée, machine réseau, vers la graphiqueapplication d’une un protocoledecommunication permet utilise Ce serveur etdevotre pour permettre souris votre l’affichage. clavier graphique, de vidéopilotes devotre avec les carte interagit ciels graphiques, lui qui, àlademandedes logi- X11. C’est leserveur estassuréepar de travail Unix, lagestion Dans l’environnement Serveur d’affichageX11etpostes detravail de sous forme ponible Chacuneestdis- répertoires. àcertains d’accéder utilisateurs àcertains sant par exempleen sécurité, rendant lapile De nombreuses modificati dunoyau Extension L’utilisationpare-feu, d’un Configuration enpare-feu avec IPtables La collection d’extensions proposée par proposée d’extensions collection La patches présentent cependant un réel intérêt. cependant un présentent patch ons nonofficiellesdu noyau en améliorent la , souvent publié sur un siteWeb. souventpubliésur , hique et de récupérer ainsi les événements clavier, récupérerde ainsiles et hique IPtables ieal––high firewall s logicielsexotiques, pluscommuns sur surlesderniers noyaux Linux,vient confiance àn’importe quel site, donc ains utilitaires permettentégalement de Le détournement de Le ses fonctionnalités X et même d’en prendre le contrôle. et mêmed’en X fication potentiellement dangereuse. potentiellement fication r le paramétrage système. Rappelons système. paramétrage r le les requêtes d’affichage émanantdes les requêtes d’affichage très restrictif pour le système misen trèsrestrictif pour lesystème d’affichages graphiques surunposte d’affichages non exécutable ou bien en interdi- grsecurity ragraphe 4, le protocole Xsouffre 4,le de ragraphe fichage dans un tunnel chiffré (voir fichage dansuntunnelchiffré tant le déport d’affichage d’une d’affichage tant ledéport s’avère debonne facture et du fichier de profil de dufichier B B delapileIP. renforcement qu’un anti-buffer overflow et anti-race condition ainsi des fonctionsd’auditétendues,mécanismes des menter le niveau de sécurité du noyau Linux par grsecurity est un objetdont lebutest d’aug- http://www.grsecurity.net http://www.grsecurity.net L IEN

grsecurity 89

5 – Sécurisation des systèmes Les Cahiers de l’Admin – Sécuriser un réseau Linux http://www.xfree86.org/ et implémenteleprotocoleX11R6. est XFree86. Il est issu du projet du mêmenom Le programme de gestion d’affichage sous Linux 90 OUTIL OUTIL Xfree86 dépourvus. de Tamalo.com. utilisateur vail se Les X11n’est d’affichage démarréquesurlespostes de travail de tra- serveur Le figure 5-8). 6000 n’est(voir plusouvert serveur, TCP Aprèsun redémarragedu leport eet esrerX11 doitêtre- lancé avec l’option lement, leserveur inuti- etexposela session del’utilisateur ne Afin soit pasouvert que ceport régulièrement, afin d’assurer une gest régulièrement, afin d’assurer vices réellement nécessaires. Ces règl en placedesrèglesdebons senspour commence par uneadministra sécurité La En résumé… types de lancement du programme utilisent l’option utilisent l’option delancementduprogramme types modifié afinquele est X11.Il serveur Le fichier n’est pardéfaut. évidemmentpasl’option command=/usr/X11R6/bin/X –nolisten tcp –nolisten command=/usr/X11R6/bin/X server name=Standard [server-Standard] /etc/X11/gdm/gdm.con Figure 5–7 Serveur X11 enécoute sur TCP leport 6000 f contient les options de démarrage du démarrage de lesoptions f contient s sections correspondantdifférentss aux limiterles installationsauxseulsser- ion sérieuse et réactive des machines. ion et sérieuse es doiventêtre remises enquestion rveurs d’applications doivent en êtreen doivent d’applications rveurs tion rigoureuse. Il s’agitdemettretion rigoureuse. Il © Groupe Eyrolles, 2005 -nolisten tcp -nolisten nolisten tcp nolisten . , cequi © Groupe Eyrolles, 2005 Eyrolles, © Groupe 3. rité décrit au chapitre deTamalo.comnistrateurs decirconscri ellesau appliquées systématiquement, unecompromiss d’éviter cas, des rité règlesédictées au coursdecechap Les sontjour. à vices actifs il faudra ég Au del’exploitation, cours Après modificationdesoptions dedémarrage, leport Figure 5–8 alement vérifier si les versions si vérifier desser- alement raient notamment permis auxadmi- permis notamment raient itre permettent, dans la grande majo- ion de système. Si elles avaient été avaient elles Si ion desystème. re, voire d’éviter, desécu- l’incident TCP TCP 6000 n’estplusutilisé 91

5 – Sécurisation des systèmes chapitre 6

IMAP SENDMAIL

DNS HTTP

SOMMAIRE B Configuration d’un serveur Certains services du réseau tels le DNS, Sendmail et Apache de noms DNS B sont nécessairement visibles de l’extérieur. Ils ne seront pas Configuration d’un système de messagerie électronique protégés par un pare-feu, il faut donc particulièrement soigner B Configuration d’un serveur leur configuration. Web sécurisé

MOTS-CLÉS B chroot B DNS B BIND B SENDMAIL B MX

© Groupe Eyrolles, 2005 Les Cahiers de l’Admin – Sécuriser un réseau Linux chapitre. de la sécurisation des services réseau "de ce taire à ceux décrits dans le paragraphe " Bases complémen- mais comme mécanisme un ultime considérer cetteprotectioncomme donc pas cute toujours sous le compte"root ".Il nefaut cloisonner,cherché à notammentlorsqu’ils’exé- être contourné parleprogramme quel’on a d’accéder aufichier programmeessayera ce que fois chaque tème de fichiers est symbolisée par gramme. SurunsystèmeUnix, laracine dusys- racineutiliséfichiers dusystème parun depro- en réalitéd’atteindre lefichier /tmp La technique Par exemple,racine est silanouvelle d’accéder à l’ensembledes fichiers du système. donné, ilneserapluspossible àce dernier racine.modifiant Enla programmeun pour cettecheminspartir de absolusà s’expriment passwd programme seraainsiconfiné dansrépertoire le 94 du systèmedefichiers avecchroot . Dans certains cas, ce confinement peut cas, confinement ce certains Dans . B.A.-BA B.A.-BA , qui n’existe pas. L’espace detravail du Changement de racine chroot /etc/passwd consiste à changer la /tmp/etc/ / , iltentera . Tous les /tmp , demment citées. demment pardes comme précé- mesures complémentaires celles lefiltrage compléter ques. Néanmoins,afindemultiplier le inaccessibles du monde extérieur, des ris- lamajorité doitsuffire à écarter rendant enles services, deces réseau filtrage Le interne. à unusage tinés déployés danslasociété services Les evcsrsa,nu osatceosà: réseau, nous attacherons à services Pour évitercelaoudumoinslimite n’est mêmepartiel trage pasenvisageable. est la vocation dont existe desservices restreindre dumondevoire àhostile partir extérieur, en interdire l’accès il pouren àl’entreprise, réseau intérieur àunservice simple defiltrer l’accès mais égalementden’importe quelle ma ne vientplus seulement descomptesdé mesurela oùmenace exposédans particulièrement est réseau Un service Bases delasécurisationdesservicesréseau de sécurité. conditions bonnes de dans ces services es pour renforcer etquelle lasécurité Nous verrons quellessont lesfonction Web. électr pour lamessagerie Sendmail Nous étudierons endétailtroisservices delasociétéTamalo.com. informatique qui sont labase de l’infrastructure réseau des etlaconfiguration services Ce chapitre a pour objet l’installation 6 5 4 3 2 1 uatqepsil emnèeetre; manièreautant quepossiblede externe missions. ressources aux afinde détecterdestentativesde compro- l’accès surveiller ; avec IMAPouHTTP) chiffrementutiliser le quandpr le utiliser lemécanisme so réseau exécuter l’application en rapidement déployer àjour lesmises ; l’extérieur filtrer, réseau à le nombre desservices limiter pour offrant desmachines chroot quand cela est prévuparl’application, quand cela su opennpiiéi ; us uncompte non privilégié onique etApache utilisécommeserveur r l’étendue d’une compromissionde ces d’une r l’étendue t la configuration adaptée pour déployeradaptée t laconfiguration Tamalo.com, des- plupart sontpour la otocole leprévoit(parexempleSSL : le DNS pour la résolution denoms, résolution la pour DNS le : d’être publics et pour lesquelsfil- publics etpour le d’être nalités intrinsèques decesproduits nalités intrinsèques csd éovreduevléaiié; vulnérabilité decas découverted’une s barrages, ilnefautpashésiterà s barrages, finis sur lamachine où il s’exécute, chine capable d’y accéder. d’y chine capable S’il est © Groupe Eyrolles, 2005 © Groupe Eyrolles, 2005 Eyrolles, © Groupe donné. La configuration duDNS sera déterminer quelle est la machine gérant le courrier électronique pour un domaine fonctionnementréciproquement, IPet leDNSes adresse – du systèmeUtiliséfaire pour principalement ce de messagerieen adressesnoms cesIPafindecommuniquervertir entre elles. électronique. de résolution de nomspour con- réseau, lesmachinesfont appelauservice pour s’adresser àde noms intelligibles En effet,machines connectées Alors àInternet. il permeten anglais,estunebasededonn de Le service de résolution deService derésolutionnomsDNS noms ou DNS, Domain Name System (DNS) Requête DNS

Ethernet 192.168.155.0/24 Postes detravail A C Firewall FW-A Firewall FW-B 123456 78910 11 12 1x 7x 2x 8x 3x 9x A 10x 4x 5x 11x 6x 12x 1x 7x 2x 8x 3x 9x B 4x 10x 5x 11x 6x 12x Internet Requête DNS Requête DNS ns1.tamalo.com 193.48.97.65

Ethernet Ethernet ées distribuée contenantlesnomsde ées distribuée abordée pour cesdeuxfonctionnalités. A A C C tte correspondance nom de machine 123456 789 123456 789 s machines oùs’exécutentdesservices 101 101 11 11 2 2 que leshommespréfèrent utiliserdes 1x 7x 1x 7x 2x 8x 2x 8x 3x 9x 3x 9x A A t également indispensable pour le bon le pour indispensable t également 4x 10 4x 10 x x 5x 11 5x 11 x x 6x 12 6x 12 x x 1x 7x 1x 7x 2x 8x 2x 8x 3x 9x 3x 9x B B 4x 10 4x 10 x x 5x 11 5x 11 x x 6x 12 6x 12 x x ns2.tamalo.com 193.48.97.66 Serveurs applicatifsinternes Serveurs Serveurs publicsServeurs 193.48.97.64/27 192.168.154.0/24 192.168.154.110 192.168.154.100 192.168.154.120 192.168.154.130 SQL NFS PRINT LDAP Figure 6–1 Topologie réseau 95

6 – Sécurisation des services réseau : DNS, Web et mail Les Cahiers de l’Admin – Sécuriser un réseau Linux 255.255.255.255. d’adresses comprises entre0.0.0.0 et offre parconséquent un intervalle théorique composée de4octets (32 bits). L’adressage IP Une adresseIPv4 àunemachineaffectée est – la version 4est la plusutilisée aujourd’hui). Protocol (Internet IP d’adressage dit système un les machines et lesprotocoles réseau utilisent l’Internet (www.mabanque.com par exemple), intelligibles pour distinguer les machines sur humainsà recourentAlors queles desnoms Figure 6–2 96 adresses IPetnomsdedomaines B.A.-BA B.A.-BA Requête DNS avec la commande host lacommande Requête DNSavec Correspondance entre sible de passer une requête DNS avec la commande la DNS avec unerequête sible depasser sont les machines à la société, c’est-à-dire c’est-à-dire la société, à pour lesadresses en renseigne lamachineen sur également pondant auxmachinesenregistrées dansledomaine 255.255.255.224 193.48.97.94 au moinsdeux.Pour avoir d’en ledomaine on recommande général, En domaine. par denoms serveur un au minimum qui écoutesurleport (un démon)et quis’ex réseau est unservice DNS Le ? Comment çamarche le champ le champ Ces machines servent la zone la machines servent Ces 6-1. senté surfigure la montre comment, à partir d’un d’un àpartir comment, montre 6-2 cequ’on des requêtes figure appelle récursives. La c’est : adéquats serveurs concernant pas leur derépondre àdesrequêtes Ellesserontment. ne égalementcapables propre base de do domaine donnécommande avecla DNSpour un montre 6-3 comment les déterminer serveurs figure La MX est positionné. (réseau 193.48.97.64/27, Figure 6–3 Dtriaindsatiusd oan aaocm» tamalo.com « dudomaine desattributs Détermination ). Cela revient àdire). Celarevient qu’elles adresses fournirontles corres- ns1.tamalo.com @tamalo.com Requête DNS – l’intervalle compris entrel’intervalle tamalo.com shell . Il s’agit de . Il et (interpréteur decommandes),ilpos- est (interpréteur ot– tamalo.com –a host standard 53 en UDP et enTCP. 53enUDP ya Il standard écute en permanence sur une machine une sur écute enpermanence nnées, en interrogeant elles-mêmes les nnées, eninterrogeant elles-mêmes ns2.tamalo.com charge de la messagerie électroniquede lamessagerie charge /27 , ainsi que la plage d’adresses allouée , ainsiquelaplaged’adresses tamalo.com smtp1.tamalo.com correspondant au netmask tamalo.com host © Groupe Eyrolles, 2005 , comme cela est pré- est , commecela , les serveurs de noms de les serveurs , . . Cette commande . Cette 193.48.97.65 et réciproque- , sur , sur laquelle et Un second mécanisme, Un secondmécanisme, appelé port 53 est contournée parlefaitque est contournée 53 port compte nonpriv d’un sous l’identité tiellement aux attaques de type aux attaquesdetype tiellement et poten- accessible depuis l’extérieur, leDNSestsujetauxdénisdeservice Application réseau est unenjeufort. Prendrecontrôle detels serveurs le DNS du monde entiersont serveurs Les ginez aisément lasuite. préalablement misenplaceunfauxsite Web devotre banque.Vous ima- mach la vers vous orienter ainsi pourra Tout du programme l’exécution d’abord, l’application. compromission de vice DNS) ont réfléchiàdes solution Heureusement,personnes encharge les admini doncdesprivilèges bénéficierait quent s’exécuter souscecompte. Q © Groupe Eyrolles, 2005 Eyrolles, © Groupe 6-4. lafigure plement, commeindiquésur L’installation de BIND sur les serveurs lisant leprotocole decommunication IP. pour disponible est RPMetil au format notamment distribué est référence. Il Name(Berkeley Internet Domain).CeproduitOpenSourcela estdevenu assurerpour leservice logicielutilisé Le de résolutionInstallation dulogicielBIND de noms est BIND root de noms dudomaine àrépondre placeduserveur à la arrive Webau site connectez vous devotre àintercepter larequêteque quelqu’un arrive DNS quiestfaitelorsquevous une applicationplussensible DNSest Le Serveurs denomsetsécurité evusDS». DNS serveurs des Configuration Tamalo.com « paragraphe le dans etsontdécrits denoms sontCesen œuvre deuxmécanismes mispourlesserveurs de fichiersetparconséquentch le cequi réduit tion en d’exécution, cours sable uniquementparlecompte 53), 1024(port à réseauinférieur un port , ouvre le port, puischanged’identité. , ouvre leport, chroot buffer overflow amp d’action d’un éventuel pirate. d’un amp d’action root banque pour accéderàvoscomptes.S’il banque , change le répertoire racine de l’applica- uelqu’un quien prendrait lecontrôle . Le programme programme DNSparconsé- doit . Le a e Hat depaquetages sousforme par Red la liberté de mouvement dans le système le dans mouvement de la liberté s minimisant les conséquences d’une conséquences les s minimisant de noms de Tamalo.com nomsde de sim- fait se ine dechoix,surine son laquelleilaura strateur sur le serveur enquestion. surleserveur strateur ilégié. La restriction de l’accès au restrictionLa del’accès ilégié. le démoncomptele lancé sous soit tous les systèmes d’exploitation uti- d’exploitation touslessystèmes du développement deBIND(ser- c’est-à-dire un port c’est-à-dire qu’il n’y paraît. En effet, imaginez named les cibles privilégiées despirates. les cibles privilégiées à distance. De plus, il il utilise De plus, à distance. (serveur DNS)peutsefaire (serveur mabanque.com privilégié utili- privilégié , il B un grand nombredesy noms. Ilestenlibrediffusionetaétéportésur BINDde serveurs constitue laréférencedes maintenupar l’Internet Software Consortium. tutelle dedivers organismes, ilest aujourd’hui fornie àBerkeley. Aprèsêtrepassésous la d’année d’un étudiant de l’’Université de Cali- Domain) est initialement un projet de fin (BerkeleyLe paquetage BIND Internet Name http://www.isc.org/products/BIND H ISTOIRE stèmes d’exploitation.

BIND 97

6 – Sécurisation des services réseau : DNS, Web et mail Les Cahiers de l’Admin – Sécuriser un réseau Linux La commande La commande compte compte nistrer manuellement leserveurDNSsous le serveur et 98 B.A.-BA root Lancement du service named duservice Lancement stop . L’argument evc named service l’arrête. start sert à admi- démarrele racine et son contenu à partir de laquelle leprogramme etsoncontenuà racine partir machines dudomaine Pour larésolution desnomsde lesmachinesdel’extérieur, ils’agitd’offrir réservé au service DNS. Le lancement est effectué par le script DNS. parlescript lancementesteffectué Le auservice réservé système. Le paquetage Le système. serveur d’un nécessaires àl’interrogation informations aux machines du réseau local auxmachinesduréseaulocal informations se le domaine.pour Les messagerie renseignerégalement de surl’identité Les serveurs de nomsdu domaine serveurs Les Configuration desserveurs DNS paquetage Le Pour utiliser lafonctionnalité Changement delaracine dusystèm vice sousl’identité Hat cont Par défaut,lepaquetage Red Compte nonprivilégié veur. requêtes récursives. demandesrésolutionde surlesautres de configuration. Cette racine correspond configuration. Cetteracine de aurépertoire named veur commandes suivantescréentlanouve Les named . . Figure 6–4 bind-utils named Installation de BIND sur la machine machine ns1.tamalo.com de la BIND sur Installation bind tamalo.com . Il s’agit d’un compte s’agit d’un . Il no contient lesbiblioth contientlesmodulesnécessaires ser- àlapartie chroot en adresses IP et inversement. Il enadressess’agit IP etinversement. Il tamalo.com rveurs DNS fournissent égalementces fournissent DNS rveurs de la (ou des) machine(s) serveur(s) de de la(oudes)machine(s)serveur(s) deBIND, lanouvelle il fautcréer enant le serveur BIND, lance le ser- enant leserveur domaines externes enlançantdes externes domaines DNS et est installé pardéfaut surle DNSetestinstallé efcir vc«cro » chroot e defichiers avec « lle arborescence de travail duser- arborescence de travail lle Tamalo.com vont assurer plusieursrôles. èques etlescommandes n privilégié exclusivement n privilégié © Groupe Eyrolles, 2005 named etrépondent aux /opt/bind–chroot lit sesfichiers lit /etc/init.d/ . c’est-à-dire que ce répertoire estenréalité quecerépertoire c’est-à-dire Le fichier de configuration deconfiguration fichier Le Les fichiers de processus (PID). fichier d’identificateurs du serveur DNS. répertoires du serveur Les travail dudémon travail (d informations zones les surchacunedes et Tamalo.com. serveur la société du fonctionnement de options les décrit Il pour l’administration du serveur duserveur l’administration pour tiennent lesinformations nécessaires © Groupe Eyrolles, 2005 Eyrolles, © Groupe configuration/opt/bind-chroot/etc/named.confFichier de Le fichier configurationFichier de /etc/sysconfig/named Le répertoire chroot/var/run démon de la racine (variable positionnerracine (variable pour lavaleurde listen-on { any; }; any; { listen-on réseau toutesles interfaces // Écoutesur "/var/run/named.pid"; pid-file denamed le PID // Fichiercontenant "/etc/db"; directory de zones lesfichiers contenant // Lerépertoire "9.2.1-TAMALO"; version ànous... // Notreversion { options ROOTDIR=/opt/bind-chroot instead. ROOTDIR use here, -t add Don't startup. # at named to bepassed will options additional These -- # OPTIONS="whatever" this. # doing before environment chroot the up set must # you environment. a chroot in named run will -- # ROOTDIR="/some/where" options: following the use can you # Currently, /opt/bind-chroot/etc /etc/rndc.key -p # cp /opt/bind-chroot/etc /etc/rndc.conf -p # cp /opt/bind-chroot/etc /opt/bind-chroot root:root # chown -p -m0755 /opt/bind-chroot/etc/db # mkdir # chown named:named /opt/bind-chroot/var/run /opt/bind-chroot/var/log /opt/bind-chroot/var/log /opt/bind-chroot/var/run named:named # chown /opt/bind-chroot/var root:root # chown -p -m0755 /opt/bind-chroot/var/log # mkdir -p -m0755 /opt/bind-chroot/var/run # mkdir X /opt/bind-chroot/etc/db named named.conf /etc/rndc.conf , sont copiés dans le répertoire répertoire le dans copiés sont , /opt/bind–chroot/etc contiennentrespectivement ( lesfichiersdetrace named contient la configurationDNS primaire du serveur de est /etc/db /etc/sysconfig/named et named /etc/rndc.key /opt/bind–chroot/var/log à partir de la racine delaquipartir àa luidéfinie, été contient lesfichiers de configuration . à l’établissement d’un canal sécurisé canal d’un à l’établissement omaines) qu’il gère. Le répertoire de répertoire Le gère. qu’il omaines) /opt/bind–chroot/etc/db /opt/bind-chroot/etc ROOTDIR , nécessaires au contrôle du au contrôle , nécessaires est modifié commesuit modifié est ). et /opt/bind– . Ils con- . Ils log . ) et le ) et 99

6 – Sécurisation des services réseau : DNS, Web et mail Les Cahiers de l’Admin – Sécuriser un réseau Linux 100 }; }; }; zone "154.168.192.in-addr.arpa" { "154.168.192.in-addr.arpa" zone 192.168.154.0/24 zone la pour Primaire // }; { "0.0.127.in-addr.arpa" zone 127.0.0.1 bouclage de l'adresse à nom un Fournit // }; "." { zone "named.cache" dans sont référencés racines lesserveurs // zoneracine, }; default_debug; { log-named; config category }; default_debug; { log-named; default category }; yes; print-category yes; print-time info; severity 20m; size 3 versions "/var/log/named.log" file { log-named channel "named.log" danslefichier deslogs // Redirection { logging directives // logging }; }; none; { allow-transfer zone le transfertde pardéfaut // Interdit no; notify dezone lanotification // Désactive yes; recursion unservicerécursif // Fournit zone "155.168.192.in-addr.arpa" { "155.168.192.in-addr.arpa" zone 192.68.155.0/24 pourlazone // Primaire notify yes; notify dezone dechangement encas leserveur secondaire // Notifie yes; notify dezone dechangement encas leserveursecondaire // Notifie }; { null; lame-servers category type"lamedelegation" trop bavardsde lesmessages // Ignore }; { allow-transfer ns2.tamalo.com secondaire DNS Serveur // "192.168.154.db"; file master; type no; notify "127.0.0.db"; file master; type "named.cache"; file hint; type }; { allow-transfer ns2.tamalo.com secondaire DNS Serveur // "192.168.155.db"; file master; type 193.48.97.66; 193.48.97.66; © Groupe Eyrolles, 2005 © Groupe Eyrolles, 2005 Eyrolles, © Groupe configuration/opt/bind-chroot/etc/db/tamalo.com.dbFichier de domaine répondre auxdifférentes requêtes deré qu’ilscont informations Les ci-après. DNS sontdonnés fichiersdeszones quegère dedescription leserveur Les aaocm NN ns1.tamalo.com. INNS tamalo.com. ) Ttl ; 7200 ; Expire 3600000 Retry ; 1200 Refresh ; 7200 ; Serial 2003061720 ( telecom.tamalo.com. ns1.tamalo.com. SOA @ IN "tamalo.com" domaine - DNS primaire ; Serveur }; }; q.aaocm NM 0smtp1.tamalo.com. smtp1.tamalo.com. 10 smtp1.tamalo.com. smtp1.tamalo.com. INMX 10 ; smtp1.tamalo.com. 10 10 smtp1.tamalo.com. IN MX smtp1.tamalo.com. sql.tamalo.com. INMX INMX 10 smtp1.tamalo.com. smtp1.tamalo.com. 10 smtp1.tamalo.com. INMX 10 print.tamalo.com. INMX 10 nfs.tamalo.com. INMX smtp1.tamalo.com. 10 ldap.tamalo.com. INMX imap.tamalo.com. INMX 10 ftp.tamalo.com. INMX ns2.tamalo.com. ns1.tamalo.com. ; tamalo.com. { "tamalo.com" zone pour lazoneTamalo.com // Primaire { "97.48.193.in-addr.arpa" zone pour lazone193.48.97.64/27 // Primaire ; notify yes; notify de zone de changement encas serveursecondaire // Notifiele yes; notify de zone de changement encas serveursecondaire // Notifiele }; { allow-transfer ns2.tamalo.com DNS secondaire // Serveur "tamalo.com.db"; file master; type }; { allow-transfer ns2.tamalo.com DNS secondaire // Serveur "193.48.97.db"; file master; type 193.48.97.66; 193.48.97.66; tamalo.com oudes adresses IPdont ilalagestion. NN ns2.tamalo.com. IN NS iennent permettent au serveur DNSde auserveur permettent iennent solutiondes noms sur demachinesdu 101

6 – Sécurisation des services réseau : DNS, Web et mail Les Cahiers de l’Admin – Sécuriser un réseau Linux 102 Fichier deconfiguration /opt/bind-chroot/etc/db/192.168.155.db Fichier deconfiguration /opt/bind-chroot/etc/db/127.0.0.db @ IN SOA ns1.tamalo.com. telecom.tamalo.com. ( telecom.tamalo.com. ns1.tamalo.com. SOA IN @ days 4 ; 345600 $TTL "155.168.192.in-addr.arpa" DNS –zone primaire ; Serveur localhost.tamalo.com. PTR 1 ( telecom.tamalo.com. ns1.tamalo.com. SOA IN @ days 4 ; 345600 $TTL "0.0.127.in-addr.arpa" DNS –zone primaire ; Serveur .... smtp1.tamalo.com. smtp1.tamalo.com. ns1 10 ; 10 INMX localhost INMX ; ws02.tamalo.com. ws01.tamalo.com. 2PRws02.tamalo.com. PTR ws01.tamalo.com. PTR .... 52 51 ws02 ws01 ; imap print ldap sql nfs ; mailrelay ; smtp1 ftp ns2 Sns1.tamalo.com. NS ns1.tamalo.com. NS ) days) (4 minimum ; 345600 (4 weeks) ; expire 2419200 hours) (2 ; retry 7200 day) (1 refresh ; 86400 ; serial 2003060416 ) days) (4 minimum ; 345600 (4 weeks) ; expire 2419200 hours) (2 ; retry 7200 day) (1 refresh ; 86400 ; serial 2003060416 NA192.168.155.52 192.168.155.51 IN A IN A 192.168.154.140 IN A 192.168.154.120 192.168.154.110 IN A 192.168.154.100 IN A IN A 193.48.97.67 193.48.97.66 IN A 193.48.97.65 IN A IN A NA192.168.154.130 IN A 193.48.97.68 IN A NA127.0.0.1 IN A NCAEsmtp1 IN CNAME © Groupe Eyrolles, 2005 © Groupe Eyrolles, 2005 Eyrolles, © Groupe start named service démo du lancement manuel Le : sefait parlacommandesuivante système du L’activation au redémarrage DNS duserveur automatique dulancement Activation etlancementduserveur Le fichier configuration/opt/bind-chroot/etc/db/193.48.97.db Fichier de configuration/opt/bind-chroot/etc/db/192.168.154.db Fichier de site FTP ftp.rs.internic.net. site FTP de nomsrésolution surIn DNS, racinesdu système sur lesserveurs hcni –ee 35nmdon named 2345 ––level chkconfig smtp1.tamalo.com. PTR ftp.tamalo.com. PTR ns2.tamalo.com. .... PTR ns1.tamalo.com. 68 PTR 67 66 65 ( telecom.tamalo.com. INSOA ns1.tamalo.com. @ 4 days ; 345600 $TTL ; "97.48.193.in-addr.arpa" zone – DNS primaire ; Serveur imap.tamalo.com. PTR print.tamalo.com. .... PTR ldap.tamalo.com. 140 PTR sql.tamalo.com. 130 PTR nfs.tamalo.com. 120 PTR 110 100 ( telecom.tamalo.com. INSOA ns1.tamalo.com. @ ; 4days $TTL 345600 "154.168.192.in-addr.arpa" zone – DNS primaire ; Serveur Sns1.tamalo.com. NS ns1.tamalo.com. NS /opt/bind-chroot/etc/db/named.cache ) (4days) ; minimum 345600 weeks) (4 expire ; 2419200 hours) (2 retry ; 7200 day) (1 ; refresh 86400 ; serial 2003060416 ) (4days) ; minimum 345600 weeks) (4 expire ; 2419200 hours) (2 retry ; 7200 day) (1 ; refresh 86400 ; serial 2003060416 . ternet. Ce fichier est distribué publiquement sur le sur publiquement Cefichierestdistribué ternet. n est réalisé par lacommandepar est réalisé n qui sont à la base du système de sontla basedusystème qui à contient les informations les contient 103

6 – Sécurisation des services réseau : DNS, Web et mail Les Cahiers de l’Admin – Sécuriser un réseau Linux 104 rendresécurisé. et fiable, performant l’extérieur, à qu’il nécessairementouvert de est impératif un service C’est oumêmepourlacommunication etlesfournisseurs interne. clients les relationsincontournablepour avecles outil un estdevenue messagerie La d’acheminer lesmessages( d’acheminer suffitdeconnaître postal. Il l’adresse envoyer fonctionne desmessages. surlemêmeschémaquecourrier Elle électroniqueàunut sert messagerie La Messagerie électronique Fichier deconfiguration /etc/resolv.conf saufserveurs DNS : Pour DNS, quin’est unemachine aura on pas serveur desserveurs DNS Fichier deconfiguration /etc/resolv.conf tamalo.com Chacune duréseau desmachines Configuration desclients DNS host [email protected] de destination,parexemple électronique,l’adresse ilnedisposequede SMTP doitenvoyer uncourrier un programme quand pratique, Dans la 25. réseau réseau TCPle port et utilise 821. Ce protocole ap défini parlaRFC assuré parleprotocoleInternet est Mail SMTP Transfer (Simple Protocol) électronique ducourrier transport Le ? Comment çamarche effectuer larésolution denoms. Pour DNSdu domaine lesserveurs DNSà contacter pour et lesadresses nom dedomaine desserveurs local requête DNS. Linux,lefichier unsystème Sur vice de messagerie électronique,vice demessagerie pour ledomaine la enchargedu machine c’est-à-dire ser- », Mail eXchanger recherche le « férer lemessage, ilfait une requête u afgr 6-5. sur lafigure nameserver 193.48.97.66 nameserver 193.48.97.65 nameserver tamalo.com domain 127.0.0.1 nameserver tamalo.com domain permet d’effectuer cette requête cette ma d’effectuer permet , son contenu est donné ci-après. , soncontenuest donnéci-après. e-mail . Pour savoir àquelle ) à bon port demanière) àbon transparente. port tamalo.com du destinataire et le système s’occupe du destinataire etlesystème entre lesdifférents sitesconnectésà DNS dans laquelle il spécifie qu’ildans laquelle DNS ilisateur connecté sur Internet pour ilisateur connectésurInternet nuellement commecela estprésenté nuellement plicatif est basésurleprotocole plicatif doit être capable delancerune doitêtre capable /etc/resolv.conf tamalo.com © Groupe Eyrolles, 2005 machine il doit trans- doit il machine . La commande . La contient le clair sur le réseau. surle clair sessions sontchiffrées,cequiévitelepassagedes informations sensibles en 4.Avec IMAPS, les IMAP surSSLcommecela a été présentéau chapitre par Tamalo.com. IMAPS, c’est-à-dire sécurisée sera utilisédanssaforme Il IMAP del’Université serveur tion du distribution Les central. un serveur consulte de final mettant àl’utilisateur Message Access Protocol) défini parla protocole IMAP (Internet auxboîteslettres. Le de gérervocation l’accès électroniques maisn’a lescourriers protocole SMTP transporte Le pas pour électronique. vice demessagerie administrateurs de de Tamalo.cadministrateurs Hat pour de Red tenu delaréactivité duconsortium développements derniers © Groupe Eyrolles, 2005 Eyrolles, © Groupe existeplusieurslogicielsassura Il Les logicielsdetransfert decourrier 25etdeluitransférer lemessage. le port tacter sur électronique demessagerie déterminé, il suffitdelecon- Une fois le serveur Il existe des alternatives à l’utilisation de l’utilisation à desalternatives existe Il bilités exploitablesàdistance exploitées. Des versions récentes de récentes versions exploitées. Des probablement celuiquidétientaussile àBerkeley,fornie esttrèscertainement développé Allmanaudébutpar Eric Figure 6–5 ehrh u«Mi Xhne M)pu edmie«tml.o » tamalo.com « domaine (MX)pourle » eXchanger Mail du« Recherche om ont décidé d’utiliser d’utiliser om décidé ont mais également localement. mais égalementlocalement. nt le rôle de transporteur, mais s Red Hat fournissent une implémenta- une fournissent Hat s Red sendmail des années 1980 à l’Université deCali- 1980àl’Université des années de Washington.produit le choisi C’est RFC 3501, est une des solutions per- est unedessolutions 3501, RFC r son courrier électronique stocké sur électronique stocké courrier r son la mise à jour de ses paquetages, les jour desespaquetages, la miseà le plusrépandudansmonde.C’est record connues devulnérabilités et responsablecompte dulogicielet sendmail présentent encore des vulnéra- présentent encore des . Néanmoins, àlavuedes Néanmoins, . sendmail pourleurser- sendmail , tent la priseen main facilitée. Hat notamment,en facili- lesdistributions Red pour du Sendmailfournis les paquetagesmais bien Ilestcomplexeàconfigurer,sûr Linux. systèmes Unix commerciaux etgratuits, dont électronique. Il est intégré dans la majorité des utilisé comme agent detransport de courrier B Cambridge. d’autres encore), proposéepar l’Universitéde une alternative enexistebien estencore (il Exim B B jamais été relevés. consistant à trouver une faille desécurité, n’ont jour,ce son auteur, lancéspar lesdifférentsdéfis sûr. deproduire un danslebut logiciel loppé À déve- été a Unix, monde le dans rencontré vent Bernstein, également sou- Qmail écritparDan B Wrapper TCP –auteur du trèscélèbre Venema auteur, Wietse jour.ont vule LelogicielPostfix enestune. Son Plusieurs alternatives à l’utilisation de Sendmail B Sendmail performant etconfortable à administrer. gerie dans le but defournir un produit sécurisé, http://www.exim.org http://www.qmail.org http://cr.yp.to/qmail.html http://www.postfix.org/ http://www.sendmail.org ALTERNATIVE est devenu très populaire et très – réalisa ce serveur de messa- O UTIL Postfix/Qmail/Exim

Sendmail 105

6 – Sécurisation des services réseau : DNS, Web et mail Les Cahiers de l’Admin – Sécuriser un réseau Linux R B : origines Pour en savoir plus sur cette nuisance et ses 106 http://www.halte-spam.com 2003 F. Aoun, B. Rasle, F. Aoun, R ÉFÉRENCE

Hlea pm! Halte au spam Halte au spam , Eyrolles messagerie ClamAV.messagerie Tamalo.com decas proposée dansl’étude danslesboîtesauxlettres solutionest desutilisateurs.Unetelle courriers tions assez efficaces pourfiltrer lesvirus va,à coup sûr,non averti le effectuer cl et même si le fichier attaché nes’ex attaché même silefichier et exécutéautomatiquementBasic Script) ?Un VBS simple script (Visual » I love you Vous rappelez-vous « le virus des virus. propagation pour la lecourrier automatiquement affichée), sur la réceptiondemessages (par exemple une imageaumessage attachée est messag de des systèmes Avec l’évolution le princi estégalement messagerie La réseau. »exploitable viale overflow buffer « detype devulnérabilité découverte subsiste Il surlesystème. localement liés nonnégligeabledesrisques partie qui lui est adressé depuis l’extérieur desonlui estadressé sitequeversdesqui adresses depuis l’extérieur deson pour le groupe pour le nistrateur nistrateur du droi doté robustes.plus Longtemps desversions àfournir deplusen travaillent Sendmail développeursde Les vulnér des si dechoix cible delaco communiquer avecl’ensemble électronique demessagerie service Le de nombreuses desécurité. failles mentation ontétéàl’origine peunaturell configuration réseau. Sa aétélongtemps labête Sendmail Messagerie électronique etsécurité Un Un Spam etrelais ouvert Relay Cette configuration souven lisent pourenvoyer leurs messages desservic de lamauvaiseconfiguration S’il est important de parler du spam, c’est que les les que c’est duspam, deparler S’il estimportant l’expéditeur. notre courrier. à despamnecoûte presque problème rien est que l’envoi Le boîtes aux lettres postales,le spamvi à ces tonnesSemblable pr decharmants spam . Normalement, un serveur de messagerie nedoit relayer demessagerie lecourrier Normalement,. unserveur , au sens de la messagerie électronique, est un courrier non sollicité. non électronique, estuncourrier au sensdelamessagerie , root , le programme , leprogramme smmsp depuis seulement quelques depuisseulement abilités sont découvertes. t involontaire estappeléerelais ou ouvert sendmail et dissimuler identité. ainsi leur écute pas automatiq écute pas ent augmenter inutilement levolumede néanmoins toujours un risque en cas de encas néanmoins toujoursunrisque e et sesnombreuxe problèmes d’implé- noire des administrateurs système et noire système desadministrateurs es de messagerie électronique qu’ils uti- électronique es demessagerie mmunauté Internet. Il constituera une mmunauté Il Internet. ic fatal ! Il existe aujourd’hui dessolu- existe aujourd’hui Il ! ic fatal pal vecteur de propagation des virus. depropagationdes vecteur pal au détournement de son utilisation de son audétournement t de protection « suid » pour l’admi- pour » suid de protectiont « doit être complètement ouvert pour ouvert être complètement doit ospectus quenous trouvons dansnos n osd lsq’ndot«si » sgid nepossèdeplusqu’un droit « en entrée de site avantdedélivrer les est devenu le moyen le leplusutilisé est devenu par certains lecteurs de lecteurs courriers… par certains erie et l’automatisation des actions l’automatisation et erie avec l’utilisation de l’antivirus de del’antivirus avecl’utilisation spammers versions. Ceci élimine une élimine Ceci versions. © Groupe Eyrolles, 2005 uement, l’utilisateur profitentbeaucoup Open employés. Chaque machine de rieur, de surd’écoute le port de courrier stocké localement sur les machines, à l’exception duserveur lesmachines,àl’exception sur localement stocké de courrier él de la machine encharge de l’adresse © Groupe Eyrolles, 2005 Eyrolles, © Groupe imap.tamalo.com smtp1.tamalo.com Tamalo.com. lamachine Seule delasociété demessagerie 6-6présentelastructure duservice La figure L’architecture dusystèmedemessagerie tamalo.com domaine. Par exemple, soit pour recevoir des courriers adresséssoit pour des audomainerecevoir courriers et lemondeintérieur, être entrepour lapasserelle lemondeextérieur quece relaye à la machine machine la à relaye envoyer maisles l’extérieur. vers pas lescourriers des Elle courriers ne stocke Tamalo.com de latechnique sur l’utilisation s’est porté lutte contre ladiffusion de courriers Nous verrons plus loin dans ce chapitre la de mise enœuvre de mécanismes domaine domaine sation de machines deson domaine provenance des serveursmal config peuventlistes êtreensuite utiliséesafinde L’utilisation de listesblanches ( B B figurés enrelaisouvert afin deles ajouter à deslistesnoires( Il existedes organismes qui recensenten permanence les serveurs de messagerie con- B La gestion de listes grises ( il est difficile d’identifier tous sescorrespondants à un instant donné. d’action des spammeurs mais esten pratique ment lespasserelles oules domaines devo lutte antispam. de le réémettre. Cette technique estparmi donc considérée commeun refus définitif.Lecourrier refuséseradétruit sans essayer teurs de spam ne comportent pas de gestio passerelle sera alors autoriséedemani ère permanente. Généralement, lesgénéra- poraire à la passerelleémettrice. Lorsdesa mier courrier à destinationd’une adresseélectronique enrenvoyant uneerreur tem- envoyer. Cemécanisme consiste àdifférer temporairementla prise encompte du pre- capacité d’une passerelle de messagerie à gérer des filesd’attente de courrier à ON http://www.dsbl.org http://www.spamcop.net

SAVOIR milter-greylist

tamalo.com Listesnoires, blanchesetgrises que les courriers à destination à les courriers que . qui,grâceà une requête l’adresse DNS/MX,détermine . À l’inverse, ilrelayeÀ l’inverse, messages les envoyés. parles imap.tamalo.com . smtp1.tamalo.com greylist tamalo.com whitelist sendmail la société envoie son courrier électronique à son courrier lasociétéenvoie en anglais) est une technique qui repose surla urés ou trop complaisants. smtp1.tamalo.com enanglais) consiste àautoriser spécifique- vers n’importe quelle destination. refusersystématiquement lescourriers en non sollicités. Le choix de la société choix dela nonLe sollicités. ectronique du destinataire. Il n’yectronique Il du destinataire. apas les plus prometteuses du momentles plusprometteusesdu dans la , qui gère lesboîtesauxlettres des réémission, lemessage seraacceptéetla n de queues. Cette erreur temporaire sera s correspondants. Cela restreint lechamp (otTP25). estconfigurée Elle TCP (port difficilement gérable dans lamesureoù dun’accepte réseau de l’extérieur des adresses définies dans le estvisibledepuisl’exté- blacklist tamalo.com greylist en anglais). Ces avec l’utili- avec ou pour 107

6 – Sécurisation des services réseau : DNS, Web et mail Les Cahiers de l’Admin – Sécuriser un réseau Linux 108 de messagerie électronique Architecture dusystème Figure 6–6 [email protected] Courrier entrant Courrier Il y adonctrois profilsdans de machines Il le serveur sur plées aurelais ducourrier fonctionnalitésLes de filtrage du spam réseau. ce service SMTPréduire liésà depuisl’extérieur,de donc lesrisques Elle présentel’avantage courriers. des et de stockage architectureCette séparedetransport lesfonctionnalités • Le premier passerellela machine concerne ( Le •

Ethernet 192.168.155.0/24 Postes detravail C A 123456 78910 Firewall FW-A Firewall FW-B 11 12 1x 7x 2x 8x 3x 9x A 10x 4x 5x 11x 6x 12x 1x 7x [email protected] 2x 8x 3x 9x B 4x 10x 5x 11x 6x 12x Courrier sortant Courrier Internet [email protected] Courrier entrant Courrier [email protected] Courrier sortant Courrier

Ethernet Ethernet d’avoir une seule machine accessible en seule machine une d’avoir C C A A 123456 7891 123456 7891 011 011 12 12 le système de messagerie électronique électronique : de messagerie le système 1x 7x 1x 7x et de détection des virus seront etde détection desvirus cou- 2x 8x 2x 8x smtp1.tamalo.com 3x 9x 3x 9x A A 10x 10x 4x 4x 11x 11x 5x 5x 12x 12x 6x 6x 1x 7x 1x 7x 2x 8x 2x 8x 3x 9x 3x 9x B B 10x 10x 4x 4x 11x 11x 5x 5x 12x 12x 6x 6x smtp1.tamalo.com smtp1.tamalo.com Serveurs applicatifsinternes Serveurs 193.48.97.68 © Groupe Eyrolles, 2005 Serveurs publicsServeurs 193.48.97.64/27 192.168.154.0/24 imap.tamalo.com 192.168.154.140 ). l’entreprise. Ils sont installés sur le serveur sontinstallés surleserveur Ils l’entreprise. Ces deuxpaquetages nesont pasprop © Groupe Eyrolles, 2005 Eyrolles, © Groupe démon tique du phasela demiseenconfig de Lors Activation desendmail paquetage Le Installation desendmail commande commande 6-8 présente laprocédure à suivre figure La commande commande La que lacommande Le service système Linux. Lors de l’activation de de l’activation Linux. Lors système de configuration sont construits pour construits sont de configuration installer lespaquetages Pourtème d’exploitation. de faut denouveauxfichiers configuration, il créer • Le dernier profil concerne toutesle profilconcerne dernier Le • • Le deuxième concerne la machine de stockage des boîtes auxlettres destockage lamachine deuxième concerne Le • edrircsd iueetcmuéetapl ullet». nullclient de figurecommunément est appelé« cas dernier Ce mais quipeuvent émettrela passerellemessagerie. pas decourriers, via de ( imap.tamalo.com sendmail chkconfig sendmail p –qa rpm p –ivh rpm sendmail etatv orlsnvaxdeéuin2 ,4e 5du 2,3,4et pour lesniveaux d’exécution est activé ) qui reçoit les courriers et émet via la passerelle. etémetviala ) quireçoit lescourriers . affiche les logicielsprésen affiche sendmail–cf estinstallé par défaut lors installeunpaquetage. au redémarrage est inactivé. dusystème La uration minimale, le lancement automa- lancement le minimale, uration et l’ensemble desprofils demachines. l’ensemble agés sur l’ensemble des machines de desmachines suragés l’ensemble m4 s autresquinereçoivent machines, pour activer le service à l’aide de la de l’aide à pour activerleservice om niu u afgr 6-7. , commeindiquésur lafigure smtp1.tamalo.com sendmail de l’installation dusys- del’installation tssurtandis lesystème, , deuxprocessussont , oùlesfichiers au lancement dusystème lancement au Activation desendmail Figure 6–8 «sendmail-cf» despaquetages Installation Figure 6–7 et «m4» 109

6 – Sécurisation des services réseau : DNS, Web et mail Les Cahiers de l’Admin – Sécuriser un réseau Linux •etc. limiterentrants latailledesmessages ousor- • préserver lecaractère privé desactions du • : Sendmail peut être configuré pour 110 define('confPRIVACY_FLAGS','goaway')dnl tants ; : d’accusés deréception destinataire,par exemplerefuserl’envoi Options particuliè A LLER

PLUS res desendmail

LOIN

L’interface réseau sur laquelle aliases face profils de den’utiliser les machine, suivant Ceci permet, trable. quel’inter- ASCII, comme ASCII, machines du parc informatique utilisent le programme parcle machines duutilisent informatique en À l’exception des serveurs desserveurs l’exception À » nullclient Profil « sendmail La configuration de Configuration desendmail /var/spool/clientmqueue sous lecomptedes messagesentre ets’exécute les machines transfert 25,estresponsable du premier,démarrés. Le TCP en écoute sur le port Fichier /etc/mail/sendmail.mc cas des cas fichiers users Le fichier guration guration tion d’un de ces fichiers de configuration, un redémarrage de un redémarrage deconfiguration, fichiers deces tion d’un du réseau. Le script nécessaire, à l’aide delacommande nécessaire,l’aide à Il s’exécute sous le compte non privilégié s’exécutesous le comptenonprivilégié Il qu’à nesert gérer Il la depuis lesystème. émis localement queue des courriers réseau. la plupart dansla lerépertoireplupart systématiquement toute correspondance systématiquement à créés à partir defichiersmacros créés à au format partir c’est le MTA ( # ! commentaire un est Ceci # # divert(-1) nullclient loopback . D’autres converti nécessitentd’être . Les fichiers. Les , effectue toutes ces conversions toutes , effectue sendmail.cf /etc/mail/sendmail.mc /etc/init.d/sendmail interne quand il y a lieu, et donc de rendre le service invisible quandilyalieu,etdonc interne derendre leservice , c’est-à-dire qu’elles, c’est-à-dire ne reçoiv Message Transfer Agent access local–host–names sendmail pour un tel profil. untel pour /etc/mail/sendmail.cf , domaintable .

/etc/mail - Configuration nullclient repose surunepoignéedefichiers,situéspour sendmail imap.tamalo.com , responsable, lancement duservice du de macros demacros , evc edalrestart sendmail service sendmaild.cf , . Certains sont utilisés sousleurforme . Certains mailertable ete cue(ot25)estparamé- estenécoute (port ). Le second n’utilise). Le pas de port de format. Aprèsde format. chaquemodifica- smmsp s dans un format binaire. C’est le binaire.format s dansun C’est smtp1.tamalo.com ent pas de courrier etadressent de courrier ent pas m4 m4 et et travaille dans le répertoire dans le travaille et ( construit le fichier deconfi- et sendmail.mc /etc/mail/submit.cf , , © Groupe Eyrolles, 2005 submit.cf virusertable smtp1.tamalo.com sendmail . et . et sendmail submit.mc configuré et trusted- root /etc/ sont , les est ). : etc/mail © Groupe Eyrolles, 2005 Eyrolles, © Groupe interne debouclage surl’interface (SMTP) estouvert 25 leport Seul réseauouverts. 6-9présente lalistedes ports La figure -Configuration nullclient /etc/mail/access Fichier trusted-users Le fichier Le fichier machines oulenom desdomainesque même. est acceptéseulement si de courrier le Les fichiers le système. estdémarrésurlamachinema service Le invisible du réseau. localhost RELAY localhost RELAY 127.0.0.1 uniquement locale machine la pour autorisé # Relais 'Tamalo') define('confCF_VERSION', Tamalo.com de version # La Name=MTA') DAEMON_OPTIONS('Port=smtp,Addr=127.0.0.1, # Les portssonten écouteuniquement surl’interface debouclage interne FEATURE('nullclient','smtp1.tamalo.com') » smtp1.tamalo.com « messagerie de passerelle nullclient, # Profil FEATURE( OSTYPE('linux') d’exploitation # Système Exp$') tamalo 10:10:10 2003/06/24 v1.0 nullclient.mc, VERSIONID('$Id: include('/usr/share/sendmail-cf/m4/cf.m4') ou par ' /etc/mail/sendmail.cf no_default_msa') /etc/mail/access domaintable du répertoire / evc edalrestart sendmail service , mailertable donné ci-après sert à indiquer lenomdes à sert donné ci-après etc/mail/ parlacommande est produit courrier provientcourrier de la machine elle- sendmail , ne doivent rien contenir.rien nedoivent virusertable is inaccessible, par sauflocalement . accepte de relayer. Le relais Le relayer. de accepte 127.0.0.1 , local–host–name . Ce port est . Ce port ae– / –C make et Configuration nullclient Configuration Ports réseau ouverts – Figure 6–9 111

6 – Sécurisation des services réseau : DNS, Web et mail Les Cahiers de l’Admin – Sécuriser un réseau Linux son nom DNSest tion, l’adressetion,est IPassociée Par ». conven- lo cetteinterfacele nom« porte machine à elle-même. Sur unsystèmeLinux, estuneréseau interface virtuellequireliela L’interface de bouclage ou loopback enanglais, 112 T Interface loopback localhost 127.0.0.1 . et Fichier /etc/mail/sendmail.mc - Serveur smtp1.tamalo.com- Serveur Fichier /etc/mail/sendmail.mc cette machine,de estprésentéci-après. La machine » smtp1.tamalo.com Profil « à l’extérieur du réseau de l’entreprise. Le fichier fichier Le du del’entreprise. réseau à l’extérieur nécessaire àla création du fichierde configuration FEATURE('no_default_msa') FEATURE('masquerade_envelope') etc... Return-Path From, FEATURE('allmasquerade') Reply »des champs Mascarade # « » FEATURE('redirect') redirect « fonctionnalité la Active # » FEATURE('blacklist_recipients') /etc/mail/access « lefichier dans # définies règles de partir à courriers certains refuser de possibilité la Active # FEATURE('access_db') relais du ladéfinition et # d’accès la »pour restriction /etc/mail/access « fichier du l’utilisation Active # » FEATURE('virtusertable') /etc/mail/virtusertable « fichier du l’utilisation Active # FEATURE('always_add_domain') interne surlacorrespondance même local dudomaine lenom # Inclut » FEATURE('mailertable') /etc/mail/mailertable « fichier du l’utilisation Active # » FEATURE('use_cw_file') /etc/mail/local-host-names « dufichier l’utilisation # Active OSTYPE('linux') d’exploitation # Système Exp$') tamalo 10:10:10 2003/06/24 1.0 v smtp1.mc, VERSIONID('$Id: include('/usr/share/sendmail-cf/m4/cf.m4') divert(-1) define('confTO_QUEUERETURN',7d) délivrable non comme à l'expéditeur # retourné d’être avant conservé est le courrier lequel pendant # Temps '/etc/aliases') define('ALIAS_FILE’, /var/spool/mqueue) define('QUEUE_DIR', locales… définitions # Quelques MAILER('smtp') MAILER('local') EXPOSED_USER('daemon') EXPOSED_USER('root') pas seront »ne » daemon mascaradés « »et « root « les comptes # Seuls MASQUERADE_AS('tamalo.com') » tamalo.com « domaine du viendront envoyés courriers les # Tous smtp1.tamalo.com etl elsrerdn epr 25soitouvert le port dont serveur le seul est /etc/mail/sendmail.mc © Groupe Eyrolles, 2005 /etc/mail/sendmail.cf , domaine domaine boîtes aux lettres de la sociétéTamalo.com. serveur Le fait suivre machine n’estdirectementpas l’ex vude correspondant est © Groupe Eyrolles, 2005 Eyrolles, © Groupe -ServeurFichier /etc/mail/sendmail.mc imap.tamalo.com smtp1.tamalo.com imap.tamalo.com La machine » imap.tamalo.com Profil « Fichier /etc/mail/mailertable imap.tamalo.com La redirection reçu par ducourrier Fichier /etc/mail/access -Serveur smtp1.tamalo.com ns1.tamalo.com du répertoire Les fichiers access mailertable domaine domaine OSTYPE('linux') d'exploitation # Système Exp$') tamalo 10:10:10 v2003/06/24 1.0 imap.mc, VERSIONID('$Id: include('/usr/share/sendmail-cf/m4/cf.m4') divert(-1) smtp:imap.tamalo.com tamalo.com mail" accept not does host That ERROR:"550 ns1.tamalo.com RELAY tamalo.com RELAY 127.0.0.1 RELAY localhost 'Tamalo') define('confCF_VERSION', Tamalo.com de version # La define('confCONNECTION_RATE_THROTTLE',5) seconde par simultanées connexions de maximum # Nombre define('confMAX_DAEMON_CHILDREN',40) simultanés sendmail démons de maximum nombre # Le define('confMIN_FREE_BLOCKS',65536) uncourrier accepter pour # /var/spool/mqueue fichiers de système le dans libres blocs de minimal # Nombre autorise lerelais envoyés autorise pourlescourriers de machinesà dupartir tamalo.com tamalo.com domaintable imap.tamalo.com smtp1.tamalo.com /etc/mail . lesenvoiesystémat contenu dufichier le estconfiguréepar , qui a pour rôle delesfichier délivrer au destinataire. Le donné ci-après. donné et de la machine ou à locale destination des adresses du . Aucun courrier ne pourra être délivréàlamachine pourra ne Aucun. courrier ne doivent rien contenir.rien nedoivent fichier Le , virusertable

- Serveur smtp1.tamalo.com reçoit le courrier et héberge l’ensemble des reçoit et l’ensemble héberge lecourrier . Lorsqu’il doitémettre. Lorsqu’il descourriers, , térieur.que lui reçoit lescourriers Il smtp1.tamalo.com local–host–name iquement àlamachine et sendmail surlamachine trusted-users /etc/mail/ /etc/mail/

de cette 113

6 – Sécurisation des services réseau : DNS, Web et mail Les Cahiers de l’Admin – Sécuriser un réseau Linux 114 machine machine Le fichier -ServeurFichier /etc/mail/local-host-names imap.tamalo.com Les fichiers sages qu’en provenance de lui-même. host-names destination desdestination adresses en répertoire répertoire tamalo.com imap.tamalo.com here. machine your for aliases all - include # local-host-names define('SMART_HOST','smtp1.tamalo.com') » smtp1.tamalo.com # « à envoyés systématiquement seront sortants courriers Les # '/etc/aliases') define('ALIAS_FILE', /var/spool/mqueue) define('QUEUE_DIR', locales… définitions # Quelques MAILER('smtp') MAILER('local') EXPOSED_USER('daemon') pas seront ne » EXPOSED_USER('root') » daemon mascaradés « et » « root « comptes les Seuls # MASQUERADE_AS('tamalo.com') » tamalo.com « dudomaine viendront envoyés courriers # Tous les FEATURE('no_default_msa') FEATURE('masquerade_envelope') etc... Return-Path From, FEATURE('allmasquerade') Reply »des champs Mascarade # « » FEATURE('blacklist_recipients') /etc/mail/access « fichier le dans définies règles # de partir à courriers certains refuser de possibilité la Active # FEATURE('access_db') la »pour durelais etladéfinition d'accès # restriction /etc/mail/access « fichier du l'utilisation Active # » FEATURE('virtusertable') /etc/mail/virtusertable « fichier du l'utilisation Active # FEATURE('always_add_domain') interne lacorrespondance même sur local dudomaine le nom # Inclut » FEATURE('mailertable') /etc/mail/mailertable « fichier du l'utilisation Active # FEATURE('use_cw_file') » names /etc/mail/local-host- « fichier du l'utilisation Active # nullclient /etc/mail indiquequelamachine /etc/mail/access domaintable denerelayer permet donné précédemment. Il des mes- ne doivent rien contenir. nedoiventrien fichier Le , mailertable @imap.tamalo.com d’un tel serveur estéquivalent à celui d’une tel serveur d’un imap.tamalo.com , virusertable et @tamalo.com © Groupe Eyrolles, 2005 accepte les courriers à acceptelescourriers et trusted–users /etc/mail/local- . du © Groupe Eyrolles, 2005 Eyrolles, © Groupe courrier. traitement d’un livraison Le surunfiltre Milter n’a sur la De plus, un problème survenant pasd’impact œuvre dedé les risquesencas etlimite exécutés sousuncompte d’être besoin programmes tiersn’onttesse, Les desimplicitéet performance. pas développé pour répondreMilter derobus- aété de sécurité, àdescontraintes tements sontpourunmêmecourrier. séquentiellement réalisés configurépour utilis tème de messagerie du chemin les possibilités 6-10présente dernier.ce de figure chargede travail la La d’autant allègera cequi demaillocal, tion de ce retour paseffectuéepar le serveur nesera ges- la passerelle La par émettrice. ainsiretourné àl’expéditeur sera Il rité. aux critères delapolitique sécu- nesatisfaisantpas de refuser uncourrier dude auxlettres boîte la dans délivré que lecourrier avantmême traitements, IP, quiréaliseront auxmodulesexternes leurs Unix ou unesocket travers sur lapasserelleSendmail de messagerie, est reçucourrier par Lorsqu’un entre etunprogramme tiers. Sendmail faisant lelien ouAPI » normalisée « interface Milter estvuecommeune ? Milter,comment çamarche Milter Sendmail etMilter sion de spam, est milter-greylist. sion despam,est dans le cadre de la lutte antivirus, est premier,ude quivasuivre. Le del’ét utilisé Deux modulesMilterfontl’objet ClamAV et le second, contre la diffu- sur cespointsdepassagequesont lespasserelles électronique. de messagerie nonsollicitésetcontrepr la courriers exemple,par desbeso dictée engénéral complément traitements des réaliser pour puissentutiliserdeslogicielstiers architecturés autour deSendmail gerie demessa- Milter a deservices donc été pensé pour quelesadministrateurs l’être. ne doitpas n’estsemble évident.Uncourrier s’il exemple, par inutilementacheminé pas, L’intérêt deréaliser un traitement part lesboîtes aux dans lettres délivrés des utilisateurs. moment d’être au sagerie, pouvaient êtreréalisés qu’u 8.13.5). Jusqu’al mail (version actuelle 8.10deSend- Milter existedepuis laversion àSendmail. modules externes électroniquescourriers des ou encore entempsréelpar des lefiltrage Sendma le logiciel dans prévue nication est une contraction de l’anglais del’anglais estunecontraction ement du courrier électronique à travers un sys- un électroniqueà travers ement ducourrier ne foisceux-ciacceptésparlapasserelle demes- opagation dessera ainsi déployéevirus, stinataire. Ceci permettra parexemple Ceci stinataire. permettra associé n’estassocié simplementpasréalisé. ors, des traitements sur les courriers ne les courriers sur ors, destraitements tournement de tournement leur mail filter iculier enpleineréceptionducourrier iculier privilégié. Ceci simplifie miseen Cecisimplifie la privilégié. er deuxfiltres Milter. deux trai- Les il, permet l’analyse, la modification la l’analyse, permet il, ne soit accepté, orienté ou encore ne soitaccepté,orienté ins deluttecontre ladiffusion de aires. Unepolitiquedefiltrage,par celui ci est transmis, en général à en général transmis, ciest celui . Cette interface decommu- . Cetteinterface utilisation initiale. B plus. ou programmes deux communiquer faire bibliothèque utilisée par les développeurs pour un ensemblede routines contenuesdans une informatique,estmatérialisée l’APIsouvent par nication entre deux mondes. Dans lecontexte L’API définit engénéralune interface decommu- http://fr.wikipedia.org/wiki/API Programming Interface B.A.-BA B.A.-BA Application 115

6 – Sécurisation des services réseau : DNS, Web et mail Les Cahiers de l’Admin – Sécuriser un réseau Linux B B : sites suivants Certains deces filtres sont référencés sur les légales sur lecontenu riers pour, par exemple, ajouter desmentions tains également modifient lecontenudescour- avec Sendmail ou à lutter contre le spam.Cer- la plupartpourà interfacerdesscanners devirus De nombreuxécrits. filtresont été servent Ils 116 http://milter.free.fr/intro/index.html http://www.milter.org A LLER

PLUS

LOIN

Lesfiltres Milter d’un message envoyé. Sendmail et et Milter Sendmail Figure 6–10 été choisi pour la lutte antivirus et la lutteantivirus pour été choisi contenu.ClamAVen tempsréeldelaprovenance etdeleur descourriers a biblio la de l’intermédiaire par mail sendmail.mc configuration de dufichier génération à la m4 quisert de macroauformat fichier le dans le avec decommunication l’interface d’ encharge la prise et configuration La Configuration plusieurs filtres un pourréaliser forceLa deMilterrésideégalementda smtp1.tamalo.com mis demessagerie 6-11 en placesur le serveur présente lesystème figure La Configuration antivirusetantispamàTamalo.com onxo etp IP. type de connexion une second le Sendmail, programme le avec communication la pour Unix Dans l’exemple qui suit,leslignesdeconfiguration tiréesdufichier Dans l’exemple Courrier Rejette define( T=C:2m') 'S=inet:999@localhost, INPUT_MAIL_FILTER('filtre2', F=R') 'S=unix:/var/run/f1.sock, INPUT_MAIL_FILTER('filtre1', décrivent deux filtres. Le pr filtres. deux Le décrivent ' confINPUT_MAIL_FI sendmail.cf . Il aétéretenucompos deux Il . Boîtes auxlettres Sendmail Accepte . enchaînement de vérifications. enchaînement LTERS', 'filtre2,filtre1') LTERS', milter-greylist pour la lutte antispam. lutte pourla milter-greylist thèque Milter. permettrontl’analyse Ils programme Sendmail. Ceci Ceci estfait Sendmail. programme Accepte/Rejette Accepte/Rejette Interface Milter Interface ns la possibilité qu’il offre d’empiler un filtre Milter consiste àendécrire Courrier Courrier emier utilise une connexion locale utilise uneconnexion emier ants s’interfaçant avec Send- avec ants s’interfaçant © Groupe Eyrolles, 2005 ite2 Filtre 1 Filtre nombreux logicielscommerciaux. decet antiviru laqualité 0.88, version bles decontenircodes malveilla des © Groupe Eyrolles, 2005 Eyrolles, © Groupe accompagnele refus dumessage. (voirci-après) transmis sage d’erreur estrefusé.est détecté, lecourrier Un unvirus en mes- revanche message. Si aux lettres du destinatairedu boîte la vers orienté avant d’être échéant cas le traitements n’est subitd’autres poursuit sonchemin. Il détecté, lecourrier aucunvirus si s’avère négatif, c’est-à-dire del’analyse lerésultat Si analysé. l’anti de module au est passé Sendmail reçucirculant Chaqueparleprogramme courrier surInternet. des virus L’antivirus ClamAV utilisé conjointemen ? Comment çamarche smtp1.tamalo.com Dans ce contexte, ClamAV estutilis de travail. duposte etl’intégrité sécurité la degarantir afin contre propagation delutter cette capital estaujourd’hui Il électronique. ducourrier sontdiffuséspar l’intermédiaire de nombreux virus nul électronique.n’ignoreeffet, En de messagerie que à un serveur interfacé Unix. Celogiciel pour les systèmes (ClamAV) est unscanne AntiVirus Clam :Sendmail,MilteretClamAV Lutte antivirus http://www.clamav.net. Please check the message and try again. try and message the check Please http://www.clamav.net. – ClamAV by Bdetected Trojan.Dropper.JS.Mimail virus 554 5.7.1 Rejette/Diffère Courrier pour scanner les piècesatta pour scanner Boîtes auxlettres Sendmail Accepte a étéinitialementdéveloppépourêtre à lapasserelleémettrice de messagerie s en faitunproduit comparable àde virus via l’interface Milter pour être vial’interface virus nts. Bien qu’il soit seulementen Bienqu’il nts. é surlapasserelle de messagerie Interface Milter Interface Accepte/Rejette Accepte/Diffère t avec Sendmail détecte la majorité la détecte Sendmail t avec r de virus diffusésousr devirus licence GPL Courrier Courrier chées aux courriers, suscepti- chées auxcourriers, ClamAV Greylist License B ou GPL La licence B le monde du logiciel libre. lité d’utilisation en font un outil trèsprisé dans puissanceil estdistribué.laquelle etsafaci- Sa rentrantde lalicence dans GPLsous lecadre disponible gratuitement pourutilisation une Clam AntiVirus (ClamAV) estun scanner de virus etprRcadSala njnir1989. Stallman en janvier ment parRichard gratuits.La premièreversion futrédigéeinitiale- logiciels de des licencesrégissantladiffusion Système de messagerie deTamalo.com demessagerie Système Figure 6–11 http://fr.wikipedia.org/wiki/GPL http://www.clamav.net , esttrèscertainement lapluspopulaire B.A.-BA B.A.-BA O UTIL LalicenceGPL

ClamAV GNU General Public 117

6 – Sécurisation des services réseau : DNS, Web et mail Les Cahiers de l’Admin – Sécuriser un réseau Linux 118 avec les dernières informations publiées les dernières informations avec bibliothèques etutilitaires associés 0.88 re outilsspécifiques. La version compilationLa deClamAV la nécessite compilé etempa sait pasquil’a reste toujours laprudence de sécurité, Enmatière de développement. des sitesde partir nier niveaudeversionetà effet recommandé les logiciels d’installer Cette inst développement del’antivirus. des codes sources est réaliséeàpartir parlegroupe distribués enchargedu correspondant n’existant pas pour ladi la passerelle de laso de messagerie procédure l’installa La quisuitdécrit Installation /var/log/freshclam.log sances, ClamAV fournit un module demiseàjourrégulière de sa base deconnais- est doncsimple. document àanalyser.mécanisme Le signatures entre unebasedeconnaiss détect la Eneffet, ? miseàjour ment sisabase unantivirus À quoiservirait Mise àjour de la base de données virales Ellessont en général archivées dans lefichier sontégalementenvo Des informations eso 3est recommandé. version www.bzip.org 1 qu’il n’est pas possible de se connecter sousl’identité Notezque ce compte ne serviraqu’à lancer le programme ClamAV et root deuxcommandessuivantessont ex Les Création du compte utilisateur compte positionné à l’antivirus. # useradd -u 101 -g clamav -c "ClamAV" clamav -s /bin/false /bin/false -s clamav "ClamAV" -c clamav -g 101 -u useradd # clamav 101 -g groupadd # freshclam pourcréerlegroupe ) et ) et , afin de garantir à l’antivirus un fonctionnement optimal unfonctionnement l’antivirus à garantir afin de , GMP ( http://www.swox.com/gmp /bin/false reflète l’activité decemodule demiseàjour. reflète l’activité clamav queté reste toujoursdangereux. ). et le compte d’application etlecompte d’application ciété Tamalo.com. paquetageRPM Le zlib clamav:clamav tion et le paramétrage de ClamAV de paramétrage le et tion sur ion de virus se fait par comparaison de ion parcomparaison sefait de virus deconnaissances n’était pas régulière- ances etune surun signature calculée stribution Linux utilisée, l’installation utilisée, Linux stribution mise. Utiliser un logiciel quandonne quiert notamment laprésence des quiert allation esten estunbonexercice. Il présence sur le système dequelques présence surlesystème par l’éditeur. contenudufichier par Le yées localement au service Syslog. auservice yées localement ( dont le rôle est critique dont leà est critique rôle leur der- http://www.zlib.net écutées souslecompte privilégié /var/log/maillog ). Le compilateur). Le sous lequels’exécutera © Groupe Eyrolles, 2005 clamav ), clamav bzip2 . (shell du (shell ( gcc . http:// en © Groupe Eyrolles, 2005 Eyrolles, © Groupe 4 3 2 L’option Le fichier journaldesmises à joures Le Unix). (socket Sendmail àlacommunication entre ClamAV etlefichierservant de l’antivirus et sera installé lelogicielap sera installé répertoire répertoire dans le défaut par eststockée des signaturesdonnées basedevirus La appartenant. lui toire, decréerunfichier suffit il situations neseront pasprésentés défa volumineux etdont par lesvaleurs Les fichiers de configuration sont contenus dans le répertoire lerépertoire sont contenus dans deconfiguration fichiers Les l’antivirus de Configuration /var/log Le répertoire Création des répertoires de travailde l’antivirus privilégié compte deÀ ladirective l’exception d’insta ClamAV Compilation de du logiciel. Cette do du logiciel.opération jour deconnaissances labasedejour lisé par le module antivirus lisé par lemoduleantivirus lisateur clamav/etc Sendmail. de d’interfaçage lemodule compiler de la compilationpeut êtrede réalisée # chmod 770 770 /opt/clamav/share/clamav # chmod /opt/clamav/share/clamav clamav:clamav # chown -p/opt/clamav/share/clamav # mkdir 600 /var/log/freshclam.log # chmod /var/log/freshclam.log clamav:clamav # chown /var/log/freshclam.log # touch /var/milter/clamav clamav:clamav # chown -p/var/milter/clamav # mkdir install make # make; --enable-milter --prefix=/opt/clamav ./configure # # cdclamav-0.88 clamav-0.88.tar.gz # tar zxvf root dont lespermissionsenécriture --prefix /opt/clamav/share/clamav . Le fichier . Le . Pour l’utilisateur autoriser /var/milter/clamav root de la commande si le répertoire si lerépertoire freshclam.conf rès compilation. L’optionrès compilation. -- clamav-milter it être faite manuellement. it être faitemanuellement. freshclam contient les fichiers PID des contient processusles fichiersPID sous uncompte ut dans cet exemple. Retenons simple- llation quidoitêtre exécutéesousle l’antivirus avec l’agent demessagerie avec l’agent l’antivirus t situépardéfaut danslerépertoire configure , qui n’est pascréé par l’installation /opt/clamav estutiliséparlemoduledemise à ut sont adaptées à la majorité des ut sont adaptéesàlamajorité ne sont donnéesque pour l’uti- clamav . Le fichier . Le . Ces fichiers . Cesfichiers de configuration désigne le répertoire où à écriredans ce réper- n’existe pas, la totalité enable-milter ilisateur standard. clamd.conf estuti- sert à sert /opt/ 119

6 – Sécurisation des services réseau : DNS, Web et mail Les Cahiers de l’Admin – Sécuriser un réseau Linux 120 Section àajouter danslefichiersendmail.mc Section 7 6 5 define('confINPUT_MAIL_FILTERS', 'clamav')dnl define('confINPUT_MAIL_FILTERS', F=, T=S:4m;R:4m')dnl clamav.sock, 'S=local:/var/milter/clamav/milter- INPUT_MAIL_FILTER('clamav', call ClamAV Define dnl ’niiu : l’antivirus Le script script Le jour. à mise du afin quelabasede système conn doitêtreautomatiquement lancé àchaqueredémarrageCe programme Le processus demiseàjour Le Lancement des processusclamav-milter et freshclam sous lecompte Une foislaconfiguration effectuée Validation du fonctionnement (log, pid, etc.). utilisés paslesmodules de l’antivirus ment qu’il est important de modifier les chemins des différents fichiers lisée entreprogrammes les quatredécriven lignessuivantes Les Sendmail de Configuration devirus scanner le lance distribution, de la ajoutées dans le fichier de macros au format m4 dans fichierdemacrosauformat ajoutées le programme programme options. Il basculeraautomaoptions.tiquementle compte Il sous Fichier d’options de démarrage de de démarrage d’options Fichier clamav-milter ensuite générer le fichier de configuration ensuite générerfichier le répertoire CLAMAV_FLAGS="local:/var/milter/clamav/milter-clamav.sock start clamav-milter # service clamav-milter –add chkconfig # /etc/init.d contrib/init/RedHat/clamav-milter cp # /opt/clamav/sbin/freshclam # /root /opt/clamav/bin/clamscan # /opt/clamav/bin/freshclam # X --headers --local --outgoing" --local --headers clamav-milter /etc/init.d sendmail . root . du système, illanceau permettent de valider le fonctionnement de fonctionnement le de valider permettent , fourni dans le répertoire répertoire le dans fourni , sendmail freshclam , les commandes, suivantesexécutées aissances des virus soit régulièrementaissances des virus et t l’interface de communication uti- decommunication l’interface t estlancésouslecompte clamav-milter clamav-milter/etc/sysconfig/ clamav-milter sendmail.cf tomatiquement l’antivirus. tomatiquement © Groupe Eyrolles, 2005 contrib/init/RedHat sendmail.mc . Elles doivent être Ellesdoivent . clamav et redémarrer et le . Copié dans le . root . Il faut . Il sans les logiciels piler, installeretconfigurermilter-g © Groupe Eyrolles, 2005 Eyrolles, © Groupe La procéduresur leserveur qui suitestutilisée Installation consiste La technique deslistesgrises ? Comment çamarche lettres dudestinataire. détection deClamAVde virus pourêtre enfin acheminé dans laboîte aux de module au transmis ou refusé sera il module, le par non ou accepté est rier passé au modulemilter-greylis d’abord dela électronique. messagerie Lors ClamAV de en complément l’antivirus interf Celogiciel, grise. milter sur non s’estporté riers sollicités choixdelasociétéTaLe malo.com pourluttercontre la diffusion decour- :Sendmail,mil Lutte antispam sendmail Génération dufichierdeconfigurationet redémarrage sendmail.cf duprogramme avoir essuyéunrefus. nombrespams envoyés, de n’essaye et donc pasderenvoyer après uncourrier des ressources qui exigerait directement importantes proportionnelles au depa Un spamnepossède générateur temps. le dans limitée général oule quel qu’en soitl’expéditeur courriers à envoyer demanièredes permanente alors autorisée est sagerie mi tentativeaprès les 30 une nouvelle etadresse dudestinataire). trice, adresse del’expéditeur gardeliste une trace grise des tentatives de module de gestion Le initial. lerejet temporaire après minutes 30 rier donc demandéàlapasserelle est ém Il : 451 temporaire la passerelle l’erreur émettrice e adresse électronique en renvoyant àdestinationd’un à du premier courrier 4 .. ryitn nato,pes oebc n0 3 :00 :30 00 in back come please action, in Greylisting 4.7.1 541 restart sendmail # service flex , byacc et acé à Sendmail par le biais de l’API Milter, biaisdel’API parle conduira acé àSendmail bison doiventêtre installés. ter etmilter-greylist. destinataire.Cette autorisation esten reylist. Préalablementreylist. àlacompilation, nutes demandées, lapasserelle de mes- à différer temporaire réception d’un courrier, réception d’un celui-cisera s de mécanisme de gestion de s demécanisme de queue, ettrice d’envoyer denouveaulecour- d’envoyer ettrice d’envoi de courrier (passerelle decourrier émet- d’envoi t (figure 6-11). Suivant que le 6-11).Suivant cour- t (figure -greylist, un outil de gestion deliste degestion unoutil -greylist, à unemeilleure gestion de fluxla smtp1.tamalo.com Lorsqu’il voit passer voit Lorsqu’il ment la la réception ment pour com- pour B contre la diffusion de spam. d’une efficacitéfortintéressante lutte pour la d’une grandesimplicitéde miseen œuvreest !).Celogiciel, Dreyfus (cocorico çais Emmanuel technique ditedeslistes grises écrite par le fran- milter-greylist est une implémentation de la s’effectuer avantdémon celuidu lancement desfiltresMilterdoit toujours Dans la phase de démarrage du système, le A TTENTION http://hcpnet.free.fr/milter-greylist

O UTIL

milter-greylist sendmail 121 .

6 – Sécurisation des services réseau : DNS, Web et mail Les Cahiers de l’Admin – Sécuriser un réseau Linux 122 smtp1.tamalo.com –Serveur Fichier deconfiguration /opt/greylist/etc/greylist.conf 3 2 1 Lazyaw # tuple. receiver) sender, (IP, the for than rather IP the # towork for want auto-whitelist if you # Uncomment in2p3.fr domain whitelist acl tamalo.com domain whitelist acl names. DNS their using machines # sender towhitelist possible # Itisalso 193.48.97.64/27 addr whitelist acl 192.0.2.0/16. use you if example an is Here # blocks. IPaddress your out by filtering # aswell, own clients your greylisting toavoid want # You will 127.0.0.0/8 addr whitelist acl purposes. testing for except line, this comment # never idea: bad a very is MTA own your Greylisting # bin/false greylist/etc/greylist.conf lequel s’exécutera le filtre de liste grise de liste lefiltre s’exécutera lequel Compilation de milter-greylist greylist ClamAV, Commele compte antivirus le filtre créépour compte le Création du compte d’application smtp1.tamalo.com La configuration de milter-greyl milter-greylist de Configuration –s greylist milter-greylist –c greylist –g 102 –u useradd # greylist 102 –g groupadd # --prefix=/opt/greylist ./configure # # chown greylist:greylist /var/milter/greylist greylist:greylist chown # /var/milter/greylist -p mkdir # install ; make make # X X X --sysconfdir=/opt/greylist/etc --with-user=greylist --with-user=greylist --sysconfdir=/opt/greylist/etc /bin/false --with-conffile=/opt/greylist/etc/greylist.conf estinactivépourunesession ). est présenté ci-après. estprésenté . Le contenu du fichier contenudufichier utilisé sur le serveur . Le ist est contenue dans le fichier ist estcontenuedanslefichier greylist interactive (shell positionné à à positionné (shell interactive et du groupe groupe du et © Groupe Eyrolles, 2005 greylist /opt/ sous / © Groupe Eyrolles, 2005 Eyrolles, © Groupe à ajouter danslefichiersendmail.mc Section 5 4 define('confINPUT_MAIL_FILTERS', 'greylist,clamav') define('confINPUT_MAIL_FILTERS', '{greylist}') define('confMILTER_MACROS_ENVRCPT', {auth_authen}') 'i, define('confMILTER_MACROS_ENVFROM', {cert_subject}') '{verify}, define('confMILTER_MACROS_HELO', {if_addr}') 'j, define('confMILTER_MACROS_CONNECT', ') milter-greylist.sock 'S=local:/var/milter/greylist/ INPUT_MAIL_FILTER('greylist', call milter-greylist Define dnl "greylist" user as. run should milter the user # The "/var/milter/greylist/greylist.db" dumpfile location. dumpfile # The "/var/milter/greylist/milter-greylist.sock" socket sendmail. # with communicate to used file socket the specify can # You "/var/milter/greylist/greylist.pid" pidfile PID. its # store will milter-greylist where a file # can specify You 2d autowhite days. 3 Here, auto-whitelisting). disable # to 0 to it (set last auto-whitelisting does long # How 30m greylist hour. 1 Here, send. to retries it messages # the accept we before wait to has a client long # How 1d timeout tuples. retain database greylist the will long # How 10m dumpfreq 1: never). - change, each on (0: dumpfile the to dump we should often # How définie dans le fichier de configuration. de le fichier dans définie Configuration de Sendmail de Configuration lancementduprogramme Le Lancementmilter-greylist de leuréquivalenten part directives contenues dans lefich Les compte privilégié # /opt/greylist/bin/milter-greylist root option lignedecommande. . Le programme bascule alors programme basculealors sous l’identité . Le milter-greylist ier de configuration ont pour la plu- peut sefaire sousle 123

6 – Sécurisation des services réseau : DNS, Web et mail Les Cahiers de l’Admin – Sécuriser un réseau Linux B B tions sensibles qui transitent sur le réseau. les sessionsIMAP afinde surSSL).Ellede IMAPS(IMAP permetdechiffrer :il s’agit a étédéveloppée sant duchiffrement, poste.sécurisée Uneversion duprotocole, utili- consulter son courrier à partir de n’importe quel L’avantage client. pouvoir de est ce protocole de lecontenu decelles-cisoittransféréle postesur queshébergéesserveur unique,sur un sansque mettre l’accès auxboîtes aux lettresélectroni- été développépourper- a Le protocoleIMAP 124 http://www.washington.edu/imap http://www.imap.org (Internet Message Message (Internet P ROTOCOLE

IMAP Access Protocol) protéger lesinforma- fgr 6-12).D’autres, comme (figure en fournissant un en fournissant nom de compte( effet, pour accéderàson électr courrier En defonctionnement. lui-même qu’à son type est moinsliéeauserveur (IMAPS). lorsqu’une connexionestinitiéesur imap.tamalo.com boîtes auxlettres desutilisateurs.Ces IMAP MessageAc (Internet serveur Le Installation d’IMAP sendmail Génération deconfiguration etredémarrage sendmail.cf dufichier programme du tages. La seule étape consiste à activer les services tages. Laseule étape consiste àactiver les services IMAPS es duserveur configuration La Configuration etactivation duserveur IMAPS autonome comme le serveur autonome commeleserveur IMAP n’estserveur pasunprogramme Le d’exploitation. profils desystème situé dans lerépertoire est IMAPS. Il sion chiffrée.Par estcréé pour leserveur défaut,uncertificat utilise unde certif mécanisme serveur Le protocole IMAPS (IMAP sur SSL)utilis Bien quela ne consultation descourriers 6-13. cela estmontrésurlafigure Pour lesdeuxpaquetagesRPM l’installation, etleserveur. entreclient le les chiffrant protoc Le sontdonc vulnérables. et protocoleIMAP standard, cesinformatio # service sendmail restart sendmail # service Figure 6–12 . La problématique de sécurité pour ce service particulier problématique pourceservice . La de sécurité ntlaindspqeae ied»e MP» IMAP « »et xinetd « despaquetages Installation /usr/share/ssl/certs sendmail openssl login ole IMAPSole protége ce epr 4 IA)o u epr 993 143 (IMAP) ousurleport le port dernières sont sur lamachine stockées onique, un utilisateur doit s’identifier onique, unutilisateur t effectuée à l’installation des paque- des l’installation t effectuéeà . Il estlancéparledémon . Il , sontdéjàinstallésdans chacun des ) et le mot de passe associé. Avec le icat pour la mise en place d’une ses- pourlamiseenplaced’une icat soit autorisée soit qu’enautorisée interne, seulle ant duchiffrement estautorisé. ns transitent en clair sur le réseau surle en clair transitent ns cess Protocol) fournit l’accès aux l’accès Protocol) fournit cess xinetd avec celui de l’autorité decer- avecceluidel’autorité xinetd © Groupe Eyrolles, 2005 et imap s informationsen et sont nécessaires sont imaps comme xinetd en mode sécurisé utilisant le chi le utilisant en modesécurisé © Groupe Eyrolles, 2005 Eyrolles, © Groupe paquetages Les Linux. du montre 6–14 l’installation La figure Installation deHTTPD surSSL). (HTTP besoin vialeprotocole HTTPS ce à une réponse apportent certificats commerce le électronique.cerne Les le contacté sontindispensables.C’est confidentialité des données transportées chiffrementde Enfin, lestechniques fonctionnalités(PHP, pas. ASP…)ils neservent quand Pensez égalementàdésactiver les modu les documents soientmodifiés. que Cecides de documents compromissionévite encas HTML. du serveur etàutiliser lelogicielserveur cuter Une bonne protection consisteàutiliser un comptenonprivilégié pour exé- Web.des serveurs vulnérabilités les pallier pour De nombreux existentaujourd’hui mécanismes du site. demarque deleurcibleenmodifiantlapage nuired’accueil à l’image cherchent plussouvent, ces derniers à pourles pirates. Le cible privilégiée l’extéri est accessibledepuis Puisqu’il Serveur Web etsécurité Serveur Web ouvrage. de cet decertif traitant des autorités l’annexe quilesigne.Pourtification à sereporter telcertificat, lacréation d’un Figure 6–13 httpd ciaindssrie ied»e mp » imaps »et« xinetd Activation services« des et ffrement et l’authentification forte. ffrement etl’authentification mod_ssl un compte différent qui sera propriétaire eur,Web serveur le est également une cas notamment pour tout ce quicon- ication (doncde laPKI),fin ication la situéeà sont d’un apport important quandla important apport sont d’un srerWbsrl ytm e Hat Web serveur Red surle système sont nécessaires au fonctionnement nécessaires sont les permettant l’ajout denouvelles l’ajout les permettant et l’authentification du site Web B B http://www.2600.com/hacked_pages http://www.unc.edu/courses/jomc191/ defaced.html DANGER SitesWeb détournés… 125

6 – Sécurisation des services réseau : DNS, Web et mail Les Cahiers de l’Admin – Sécuriser un réseau Linux Figure 6–15 126 Activation et démarrage du serveur Web duserveur démarrage et Activation activés par défaut. Un compte non privilégié pardéfaut. Un comptenonprivilégié activés mande L’activation auredémarrage de la machine est réaliséeparla com- duserveur pour exécuterleserveur. qu’ils soient d’emblée reconnus parlesnavigateursplusrépandus. qu’ils soientd’emblée délivrésparune stru descertificats par duserveur àl’installation fabriqués estpossiblederemplacer lescertificats Il sont 443(HTTPS) et 80 (HTTPD) ports commande commande Les fichiers de configuration du serveur sont dans le répertoire duserveur deconfiguration fichiers Les Configuration etactivation deHTTPD concernant l’utilisation de HTTPS est dans le répertoire répertoire le estdans deHTTPS l’utilisation concernant conf.d ment créé dans le répertoire répertoire le dans créé ment est automatique- HTTP un del’installation, pourleserveur certificat Lors . Unefoisencore, tous chkconfig Figure 6–14 evc tp start httpd service Figure 6–16 t manuel est effectué par la par lancementmanuel esteffectué 6-15). Le (figure ntlaindspqeae tp t«mdsl» mod_ssl « »et httpd « despaquetages Installation Ports réseauHTTP(80) /etc/httpd/conf les modules installés avec le serveur Webles modulesinstallés avec leserveur sont om emnr afgr 6–16,les . Commelemontrefigure la cture afin officielledecertification en écoute sur la machine. enécoutesurla apache . Le fichier deconfiguration fichier Le . et HTTPS(443)enécoute © Groupe Eyrolles, 2005 est utilisé nativement utilisé est /etc/httpd/ /etc/httpd . par une authentification renforcée par uneauthentification desclients. proieonvite ladesspammeurssi neleprotégeaitpas très quiserait ouvert vers une destination située àl’extéri SMTP acceptantde relayer desmessagesvenantdel’extérieur un service s’agit il effet, En SMTPS. pour même decharge façonservic nativeparles etIMAPS sontcla lesaccèsHTTPS Si l’envoi. Webmail, enIMAPS pourlalectur © Groupe Eyrolles, 2005 Eyrolles, © Groupe MiM. lesattaquesdetype d’éviter Le certificatAuthentification duserveur du serveur permet de s’ serveur Le l’extérieur Configuration duserveur st et, ficats si nécessaire, comment ce chapitre, nous nous limiterons donc Tamalo.com Dans utilisateurs. machineset descertificats pourlagénération de decertification de lefonctionnement l’autorité Adécrira L’annexe avec seront pourlesdeuxservices élec decertificats lebiais par parties seront enchiffrantlescommun sécurisés simp d’un partir à un accès pour mail un accèsIMAP/SMTPpour ceuxdispos : auxutilisateurs nomades sontofferts de messagerie de services Deux types enutilisantégalementstunnel. vices sécurisés desser- accéderà peut reconnaissantcertificats des applications SSLoules dépourvue trerons dansundeuxième temps commentunemachinecliente lesaccès àlamessageriepour sécuriser détaille allons nous Dans cequi suit, les clients. pour que serveurs bien pourles électronique aussi tion parcertificat prend enchargel’authentifica Stunnel grâce auprotocoleSSL. desparties sur lechiffrement descommunications etsur l’authentification ensebasant àunensembledeservices, lesaccèsexternes sécurise Stunnel messagerie avec stunnel Sécurisation desaccèsnomadesàla sl3.tamalo.com est ouvert à l’extérieur en HTTPS pourlesaccès en HTTPS àl’extérieur ouvert est les convertir dans lebon format. le même certificat électronique. le mêmecertificat r comment stunnel peut êtrecomment stunnel peut utilisépour r unnel accessibledepuis troniques. Les utilisateurs autorisés le utilisateursautorisés troniques. Les eur.relaisun cequ’onappelle C’est ici d’ouvrir ànosutilisateurs icinomades d’ouvrir authentifier auprès de ses client afin de sesclient authentifier auprès e des courriers etenSMTPS pour e descourriers le navigateur Web. Ces deuxservices es correspondants, iln’enes correspondants, de vapas sesutilisateurs nomades. Nous mon- à expliquer où il faut placer ces certi- placer à expliqueroùilfaut ications eten authentifiant lesdeux ications ant d’un portable etunaccèsWeb- portable ant d’un ssiques et le plus souvent pris en ssiquesplus souventpris etle erdsrbe e etfct lcrnqe)! leur distribuer descertificats électroniques) courriers àTamalo.com (et, dansnotre cas, de des correspondants susceptibles d’envoyerdes n’est pasconcevable l’ensemble d’authentifier tion systématiqueses clients.de Enparticulier, il ce derniernepeutpasexigeruneauthentifica- SMTPplacerle serveurdeTamalo.com. Eneffet, aux nomades de l’entreprise et ne peut pas rem- une authentification estnécessairement réservé Attention, leserveur SMTPmettant enœuvre authentifié et anonyme B.A.-BA B.A.-BA Serveur SMTP 127

6 – Sécurisation des services réseau : DNS, Web et mail Les Cahiers de l’Admin – Sécuriser un réseau Linux celui-ci. de pirate pas àune copie s’adressent ne qu’ils En authentifiant le serveu au passage les informations qui l’intéressent. Bien sûr, le pirateest alors àmêmedecapturer le clientverslevraiserveur etréciproquement. peut même relayer les informations fournies par compléter la tromperie, la machine du pirate DNS. service du compromission une Pour par ou le client), à appâter destiné courrier d’un (envoi copie.Celafait leplussouvent par est copie du serveur et àattirer lesclients verscette site Web, l’attaque MiM consiste à créer une entre celle duclient et leserveur. S’agissant d’un consiste pour le pirate àinsérer sa machine Une attaque de typeMiM (Man in theMiddle) 128 B.A.-BA Attaque MiM et authentification MiMet Attaque r, lesclients sontsûrs phishing tester l’existence. ramène au calcul d’un d’un aucalcul ramène se client certificat Ainsilarecherche d’un comme nompourlecertificat. Par exemple, présentdanslerépertoire tificat Chaque à utilisateurautorisé se connect Authentification desutilisateurs /root/CERT-server certification sont placés dans le répertoire de de l’autorité ainsi quelecertificat duserveur privée et la clé certificat Le format PKCS12,est possible degénéreril fichier le sont oùceséléments veurs. Danslecas pour lesser- privées etclés lagénération des certificats Adécrira L’annexe d’utilisateurs, un d’utilisateurs, êt qui cemécanisme pourrait d’accélérer par fourni donc comparercertificat le doit serveur le Dans lapremièreauthentifié. étapedel’authentification, pourra y répondre. Si le client est en mesure de répondreau challenge, il correspondante est privée etseullepossesseurdelaclé publique duclient clé risés. le c’est Si cas, il propose un challenge au client. Celui-ci est basé sur la auto- regardela listedescertificat estdans sicedernier ;leserveur certificat s’authentifieauprès du serveur, ilprésenteson l’utilisateur Lorsque la clé privée. la clé Cette commandenécessitedele fournir : suivante mettant d’accéder à la clé privée delamachine. privée àlaclé mettant d’accéder Cette commande nécessited’entrer, une : aveclacommandeprimer suivante privée du serveur à chaque redémarrage de celui-ci, il est possibleSi on ne veut pas de être le sup- obligé de fournir le mot de passepour accéder à la clé • • openssl rsa –in sl3.tamalo.com –out sl3.tamalo.com sl3.tamalo.com –out sl3.tamalo.com rsa –in openssl sl3.tamalo.com.pem –out sl3.tamalo.com.p12 –in pkcs12 openssl eonîr e intrsd etfct ; certificats de signatures les reconnaître l.aaocmpm: sl3.tamalo.com.pem CA-Tamalo.crt Boutherin.crt hash : certificat de l’autorité de certification permettant de permettant decertification del’autorité : certificat cnin ocdu ihes: deuxfichiers donc contient de chaque certificat client certificat dechaque hash clé privée et certificat duserveur. certificat et privée clé qui donne le nom du fichier dont il suffira de suffira il dont nom dufichier le donne qui est le certificat de l’utilisateur Boutherin. del’utilisateur est lecertificat /tmp/stunnel/CERT-clients-auth le client à tous ceux qu’ille client possède. Afin fournis sous la forme d’un fichierau d’un forme sous la fournis er sur le serveur devra avoir son cer- devra er surleserveur motpasse de permettant à d’accéder re pénalisant si on a des centaines rea pénalisantsion dernière fois, le mot mot de passeper- fois,le dernière /root/CERT-server

est généré et estutilisé est généré © Groupe Eyrolles, 2005 pem avec la commande la avec . l’identité sous laquelle tournera stunnel: tournera souslaquelle l’identité © Groupe Eyrolles, 2005 Eyrolles, © Groupe sl3.tamalo.com Aule serveur départ, Configuration destunnelsurleserveur nereste plusqu’àIl faire unliende Boutherin de Génération lecertificat duHASHpour configuration ci-après, stunnel stunnel ci-après, configuration Enfin, il fautrendre accessibles : commande la avec zéro) dans unenvironnement li tants surla machine locale conforméme 625 qui correspondent auxvers et SMTPS 993 443,IMAPS HTTPS enécoutesurlesports ouvre desservices Stunnel 6-17 et6-18. figures Il est possible de le vérifier aisément en visualisant les services ouverts sur ouverts visualisant lesservices aisémenten est possibledelevérifier Il est configurépourn’accepter quedepuislamachinelocale. lescourriers IMAP etSMTP dans leurversion non chown –R nobody:nobody /tmp/stunnel/CERT-clients-auth –R nobody:nobody chown 0f12d2f6.0 ln –sBoutherin.crt 0f12d2f6 –hash –noout Boutherin.crt x509 –in openssl et sur et sl3.priv.net localhost mité par le biais d’un d’un le biais par mité s’exécute dans le répertoire s’exécute dans lerépertoire les certificats pour l’utilisateur l’utilisateur pour certificats les fournit les services Webmail lesservices fournit en HTTP, avec Boutherin.crt nt à la figure 6-19. Stunnel s’exécute 6-19.Stunnel nt àlafigure sécurisée. De plus, le serveur SMTP Deplus,leserveur sécurisée. ions sécurisées des services exis- ions des services sécurisées nmap comme le montrent les chroot en . Danslefichierde 0f12d2f6.0 /tmp/stunnel nobody quiest (point . depuis l’extérieur.depuis accessible pas n’est il car visible pas n’est 25/TCP SMTP sl3.tamalo.com. sur lancé Le serviceIMAP143/TCP est Figure 6–17 129

6 – Sécurisation des services réseau : DNS, Web et mail Les Cahiers de l’Admin – Sécuriser un réseau Linux 130 machine locale (localhost). locale machine Le service SMTP 25/TCP SMTP Le service accessible que depuis la quedepuis accessible localhost:143 localhost:110 localhost:80 localhost:25 est bien lancé, iln’est lancé, est bien Client stunnel Figure 6–18 stunnel limiter les risques en cas decompromissionen cas limiter lesrisques du service. De plus, il s’exécute sous l’identi Figure 6–19 Principe de fonctionnement de stunnel defonctionnement Principe SMTP 465 HTTPS 443 IMAPS 993 POPS 995 té UID=nobody, de afin GID=nobody stunnel ur sl3.tam alo.comServe © Groupe Eyrolles, 2005 We IMAP 143 POP 110 SMTP 25 bmail HTTP80 stunnel-server.conf Un rapide scan Un rapidescan duserveur. privée clé à la accéder pour © Groupe Eyrolles, 2005 Eyrolles, © Groupe Le fichier veaux services HTTPS IMAPS etSMTPSl’extérieur. sont à ouverts HTTPS veaux services Stunnel peut alors être lancéavec la commande peut alors Stunnel : IMAPSSMTPS et HTTPS en uneseulefoislesservices TIMEOUTclose = 0 = TIMEOUTclose = 80 connect = 443 accept [https] = 25 connect = 465 accept [smtps] = 143 connect = 993 accept [imaps] services des # Configuration /root/stunnel.log = output =6 debug DEBUG le concernant # Informations à nobody) appartenir doit CERT-clients-auth /tmp/stunnel/ c.a.d. chroot dans autorisés, clients certificats /CERT-clients-auth = CApath /root/CERT-server/CA-Tamalo.crt = CAfile 3 = verify CERT-clients-auth) répertoire le dans (contenus autorisés certificats des liste la dans est qu’il et valide est client du certificat le que vérifie : # 3 client. du certificat du validité la vérifie : # 2 un. présente en s’il client du certificat du validité la vérifie : # 1 # Authentification /root/CERT-server/sl3.tamalo.com.pem = cert nobody = setgid nobody = setuid /tmp/stunnel/stunnel.pid) (soit /stunnel.pid = pid /tmp/stunnel/ = chroot # /etc/stunnel-server.conf /etc/stunnel-server.conf nmap comme indiqué sur la figure 6-20 montre 6-20 les nou- que commeindiqué surlafigure quinécessitedefournir, yen s’il a un, lemotdepasse (chemin pour accéder aux aux accéder pour (chemin donné ci-après de configurerpermet tne /etc/ stunnel 131

6 – Sécurisation des services réseau : DNS, Web et mail Les Cahiers de l’Admin – Sécuriser un réseau Linux 132 SMTPS 465/TCP SMTPS 465/TCP sont les servicesIMAPS993/TCPet Après lancement destunnel, Après lancement Figure 6–20 disponibles. dans le navigateur à partir du fichier au format PKCS12format au fichier du partir à navigateur le dans liser liser et recevoir en IMAPS des courriers depuis le serveur depuisleserveur en IMAPSdescourriers et recevoir envoyer pour enSMTPS certificat par l’authentification prendqui encharge Dans Mozilla de cette section, configurermessagerie nous allons un client l’authentification parcertificat Configuration d’unclientnomadesupportantSSLet /etc/mail/access /var/log/maillog vient biende Le certificat et la clé privée de l’utilisateur del’utilisateur privée et la clé certificat Le »). Installation de la chaîne decertification surleclient « de plus (pour navigateur duclient CA-Tamalo decertification del’autorité certificat Le le chargé dans est Si on s’intéresse aux logs du serveur SMTP,s’intéresse on logs du serveur aux Si dans privée. clé la qui contient certificats de magasin pour accéderau depasse mot L’envoi ducompte àpartir courrier d’un 6-22)pouractiverl’util (figure et 6-21) SMTP restene IMAP(figure plusqu’àconfiguration Il modifierla Il estalorspossiblede configurerIl le compte IMAP de A. »del’annexe navigateur personnel dans le certificat d’un Installation « comme indiquéàlasection déroulement de l’authentification par certificat de par certificat déroulement del’authentification sl3.priv.net 127.0.0.1 pourrelayerles messages. quepourleserveur onvérifie comme serveur IMAP et comme serveur SMTP. IMAP et comme serveur comme serveur ( localhost isation delabibliothèqueSSL. ). Il n’est). Il donc pasnécessaire de modifier dti,rfrzvu ’neeA, à l’annexe référez-vous détail, Boutherin Boutherin sl3.priv.net © Groupe Eyrolles, 2005 nécessite de fournir le nécessite defournir stunnel.log sl3.priv.net sont alors importés alors sont Boutherin Boutherin Boutherin.p12 laconnexion on voit le onvoit pour uti- pour et dans et . , offrir un relais offrir auxspammeurs. SMTPouvert © Groupe Eyrolles, 2005 Eyrolles, © Groupe l’option par garantie obligatoire, fication pas lancer ne à tout malgré Attention Activation de SSL avec SMTP sur le client Mozilla leclient sur Figure 6–22 un tel relais SMTP sans une authenti- un telrelais SMTPsansune eiy=3 = verify , car celareviendrait à , car sur le client Mozilla Mozilla leclient sur IMAP Activation avec deSSL Figure 6–21 133

6 – Sécurisation des services réseau : DNS, Web et mail Les Cahiers de l’Admin – Sécuriser un réseau Linux 134 patible avec celle de Linux ; elle nous ;elle patible avec celle deLinux Il nereste plusqu’àIl lefichier éditer L’installation de certificats. par pasSSLoul’authentification supporterait ne qui vieille version d’Eudora ensemble peutêtre téléchargédepuis .p12 stunnel.exe et utilisera co quisuit,nousallons Dans l’exemple SSL oul’authentificationparcertificat Configuration d’unclient etànsbsis: besoins ànos ment répertoire répertoire Pour tousle simplifier laconfiguration, binaries.html La commande commande La • • • • c:\stunnel\stunnel.log fichier le dans envoyés seront logs Les # validée. configuration la à 3fois ramené une être pourra de debug # Leniveau 2 = verify valide certificat un présente serveur le que vérifier de permet verify=2 # \stunnel\CA-Tamalo.crt = CAfile serveur. le par présenté certificat du validité la vérifier # de permettra qui certification de del’autorité le certificat ou trouver indique # CAfile = cert \stunnel\Boutherin.pem serveur. du auprès s’authentifier de permettront # lui qui l’utilisateur de privée clé la et certificat le trouver où indique cert # privée) clé la à accéder pour passe de mot le fournir de –out Boutherin.pem Boutherin.p12 –in pkcs12 openssl libeay.dll vérifier la validité des certificats présenté par le serveur leserveur présentépar lavaliditédescertificats vérifier Boutherin Boutherin.p12 CA-Tamalo.crt stunnel.conf stunnel.exe auformatPKCS12un fichier en stunnel c:\stunnel . est disponible à l’adresse estl’adresse disponible à . qui sont fournies avec le programme avecleprogramme quisontfournies openssl : leprogramme stunnel pour sécuriser un client de messagerie, par exempleune unclient pour sécuriser : lefichierdeconfiguration qui contient le certificat et certificat le contient qui CA-Tamalo de une copieducertificat , de qui permettra lfu ocisalr: fautdonc installer . Il fournie avec la avec fournie biblioth nécessiteaupréalablelesbibliothèques stunnel nomade nesupportantpas .pem http://www.stunnel.org permet donc de transformer le fichier c:\stunnel\stunnel.conf nfigurer un client sous qui Windows nfigurer unclient s fichiers utiles seront placés dans le ; utilisable par http://www.stunnel.org/download/ èque SSL est strictement com- èque SSLeststrictement la clé privée del’utilisateur privée laclé stunnel © Groupe Eyrolles, 2005 (orc-pè); (voir ci-après) stunnel openssl.exe sl3.tamalo.com . Le programme . Le (nécessite (nécessite conformé- : libssl.dll . Cet . SSL. pourutiliser suffitmaintenant de demessagerie configurerIl leclient © Groupe Eyrolles, 2005 Eyrolles, © Groupe piratage. de risque contrele ment auxressources grâce aution filtrage,d’accès il estpossiblede lutter efficace- réseau ou comme larestric- pour exécuter unservice compte nonprivilégié tocoles sur lacoucheSSL.Par d’un des mesures simples,commel’utilisation denombreux pro- t l’implémentation exemple de cette évolution comme l’es point de du lités trèsappréciables vulnérable chaquejourmoins deviennent implémentationsservices des . Les réseau d’applications développeurs parlesnombreux ausérieux lacomposanteestprise Aujourd’hui, sécurité En résumé… stunnel 127.0.0.1 Stunnel obeatetfcto :unepremière double authentification Notez duprotocoleIMAP, quepour lecas une à avoir revient cette méthode SMTP.comme serveur privée) clé à la accéder pour passe de mot le fournir de (Nécessite stunnel-windows.conf stunnel > c:>\stunnel = sl3.tamalo.com:993 connect = 127.0.0.1:143 accept sl3.tamalo.com de 993 IMAPS # port le sur etredirigées stunnel par chiffrées seront 143 local leport sur IMAP connexions # Les [imap] = sl3.tamalo.com:465 connect = 127.0.0.1:25 accept sl3.tamalo.com de 465 SMTPS # port le sur etredirigées stunnel par chiffrées seront 25 local le port sur SMTP connexions # Les [smtp] yes = client client mode en est l’on que stunnel à # Indique stunnel.log = output = 7 debug , puis le mot de passe du compte IMAP qui est chiffré par le tunnel : peut alorsêtrela commande lancéavec ( localhost ) comme serveur IMAP et ) comme serveur vue de BINDestunbon la sécurité. authentification par certificat avec par certificat authentification s eton disposeàprésentdepossibi- 127.0.0.1 ( localhost ) 135

6 – Sécurisation des services réseau : DNS, Web et mail chapitre 7

[root] # _

pare feu - filtrage - pare feu - filtrage - pare feu - filtrage - pare feu - filtrage

Internet

SOMMAIRE B Filtrage en entrée versus Ce chapitre a pour objectif de définir une boîte noire qui, filtrage des paquets entrants B positionnée entre notre réseau et le monde hostile extérieur, Pare-feu sans état et avec états interdirait les intrusions tout en permettant aux utilisateurs de B Politiques de filtrage : du « tout ouvert sauf » au « tout fermé Tamalo.com de sortir librement vers l’extérieur et aux visiteurs sauf » de télécharger les informations qui leur sont destinées. MOTS-CLÉS B Filtrage B Pare-feu statefull B Pare-feu stateless B Suivi de connexion, connection tracking B « tout ouvert sauf » B « tout fermé sauf » B FTP actif, FTP passif B SYN, ACK B Well-known ports, registered ports B IP spoofing, Source routing, ICMP redirect B Man in the Middle (MiM) attack

© Groupe Eyrolles, 2005 Les Cahiers de l’Admin – Sécuriser un réseau Linux trôle. couche réseau par l’envoi de messages de con- plutôt larégulationdu fonctionnement de la Son but n’est pas letransport des données mais IP. protocole de contrôle de la couche réseau ICMP (Internet Control Message Protocol) est un B.A.-BA B.A.-BA 138 Internet Control Message Protocol La décisionLa de rejeter ou d’ ICMPl’expéditeur. à ounonunmessaged’erreur choix d’envoyer rejeter. deles contraire ou au destination auronsnous le cas, Danscedernier niveau de laquelle il est possible de siteetau d’un duréseau à l’entrée boîte noiresituée une pare-feu est Le Principes debasedufiltrage enentréedesite fonctions. ces deux fois àla ment efficace- très éléments pourréaliser Linuxpossèdetousles vant, lesystème notrede réseau.Commenous leverronscechapitredusui- aucoursdeet celui derouteur àl’entrée pour désignerlaboîtenoirelefiltrage quieffectue Dans ce quisuit,nousemploierons, depare-feu leterme suivant le cas, ou deleurappliquerlesmisesàjourrecommandées.échéant, réseau etlecas lesquelques machin sible devérifier avis nouvel réception d’un à chaque Enfin, aucunefaille. ne présentait dernier dece configuration et la version la qu’après réseau s’être n’être assuréquepourra l’administrateur par autorisée aumonde Internet service d’un protégé parlepare-feu.l’ouverture Ainsi, prés qui offre unservice machine interne qu’ils les sans avoiratteint machines réseau, parexemple,seront rejetéspare-feu scans parun Les extérieures. de site permet enentrée trant d’un miseen La machines del’entreprise. L’objectifd’ enentréeest dufiltrage But poursuivi ou sansétatetlespolitiques defi despare-feuavec de filtragedelescaractéristiques les mécanismes paquets, desattaquesextérieures. Nous décrirons ensuite téger le réseau d’entreprise solutionsNous étudierquelles allons 2 1 connexion ( modeest appeléfiltrage defiltrage contenu dupaquet comme ci-dessus et La décisiontraverse. connexion qui le dechaque état ou de rejeter gardeunetrace le pare-feu ou d’accepter delaconnex del’historique Analyse le paquet tientétat, désignécommunémentsans l’ par compte à la fois destination, source, flags port port du Examen endétaildesoncontenu: connection tracking connection accepter êt un paquetpeut ltrage qu’illtrage estpossiblededéployer. ). décider defaire suivre lespaquets àleur limiter considérablement lesagressions considérablement limiter place d’un pare-feu ou d’un routeur fil- routeur pare-feu oud’un place d’un peuvent être misesen œuvre pour pro- de sécurité, ilserahumainementpos- de sécurité, assurer uneprotection pardéfautdes es offrant ce service à l’extérieur du àl’extérieur ceservice es offrant (SYN,ACK, lefiltrage RST...).C’est visaient. De la même façon, si une même façon, si De la visaient. avec états, on parle ausside suivide avec états,onparle ion. Celaimpliquequelerouteur ou adresse source, adresse destination, ente une vulnérabilité, celui-cisera ente unevulnérabilité, expression : filtrage de paquets. paquets. de :filtrage expression de l’histoire de la connexion. Ce delaconnexion. l’histoire de re prise de deux manières. deux de re prise © Groupe Eyrolles, 2005 © Groupe Eyrolles, 2005 Eyrolles, © Groupe so c’est-à-dire mode privilégié, en tourner doit 1024, leservice eur à inféri un port pour ouvrir systèmes, dans unenvironnementUn particulière possibles,lespo ports 535 Parmi les65 parlepare-feu. TCP rendu sera accessibledel’extérieur 80 port rieur.Web, Parun service machine assurant exemple,pour une le seul une machinedonnée, seuls les services protocole, le port surlesinformatio pare-feu vas’appuyer Le source et ! le 80 port Webserveurs réseau du donné port un simple scan par d’un destination – afin quiétab également utiliséepar les pirates de garantir que,tacter sans autre information que le pour de lescon- externe connu,ce qui permet à unemachine utilisent un port réseau desservices 80.plupart La écoute TCPsur leport et dont le service donné. L’exemple estcelui du Web, leplusclassique quiutiliseleprotocole TCP/IP,par TCP enmode (sessions)UDP ou (nonport connecté)vers un utiliseson protocole propre Un service Protocole, source ports etdestination etfiltrertentatives de lesautres. connexions àdestinationserveurs deces àoffrirunservic vocation etont, par conséquent, duréseausontdesserveurs machines certaines Seules IPsource etdestination Adresses les paragraphes suivants. refuser. informations exploitables Les lecontenudupaquet,ils’ En analysant Filtrage sansétat applicatifsa valeur. enfonctionde L’IANA aprévudifférentes significations 535. d’un port 65 et 0 octets. La valeur d’un port estdonc comprise entre entier de 2 À l’intérieur d’un paquet, le numéro deport eststocké dans un numéro de portet lenom du service estdonnée dans lefichier unservicepour donné.SousLinux, lacorrespondance entrele ont étéfixés par l’IANA(Internet Assigned Numbers Authority) /etc/services Les N ORMALISATION well known ports known well

Well knownports . sontlesports applicatifs dont les numéros e visible de l’extérieur. Il faudra donc autoriser les doncautoriser e visibledel’extérieur.faudra Il us le compte administrateur us lecompteadministrateur nom duserveur.Cettepossibilité est pour la décision sont détaillées dans la décisionsontdétaillées pour grâceàdespaquetsréseauvéhiculés agit de décider de l’accepter ou dele agit de déciderdel’accepter t 1023 ont une caractéristique 1à rts voulus seront accessibles de l’exté- ix, donc Linux. En effet, avec ces lissentainsi facilement la listedes ns lues dans le paquet – à savoir le à savoir paquet – dans le ns lues root 912à6 3 : dynamic ports utiliséspar les sessions. 535 65 à 152 49 • registered : ports. Ces ports ont été réservés 151 49 à 024 1 • »sont portsbien connus well : known ports. Ces « 023 1 à 1 • B . http://www.iana.org/assignments/port-numbers http://www.iana.org/assignments/port-numbers 3306:MySQLcuté dans un environnement privilégié. Citonspar exemple ou 2401:CVS.pour un servicedonné, ce service n’étant pas forcément exé- HTTP… : 80 SMTP (SimpleMail Transfert Protocole), : TELNET, 25 : 23 FTP, : associés àunservicede base, par exemple,21 tocolesoit UDPouTCP. destination etun port dedestination, quele pro- adresse source,port source, un adresse de une IPest définie par une Une connexion réseau B.A.-BA B.A.-BA Connexions réseau 139

7 – Filtrage en entrée de site Les Cahiers du programmeur XUL 140 refuser les paquets contenant adresse interneà notreréseau. Enparticulier,il faudra routeur, dansle casoù l’adre les paquetssur quiseprésentent l’interfaceexterne denotre La première règle de filtrage va donc consister à refuser tous ! IP externe importants que ceux associés àune adresse IP interne, le pirate obtient des droitsforcément plus adresse votre politique de sécurité. En effet, en prétendant avoir une paquets, le pirate cherche tout simplement à contourner paquets. En maquillant ainsilesadresses sources de ses que del’œuvre d’unpirateetilfaut clairement refuserdetels s’agir !Ilnepeut source appartenant àvotrepropre réseau IP vous voyez arriver un paquet présentant une adresse auxquelles il serait quelque peu téméraire de déroger. suit, nous décrivons cependant un certain nombre de règles d’assumer, commecela bienrisqueinformatique sûr du quel’onestenmesure Larigueur delapolitique defiltrage miseenplace dépend I tion. Unetelle option permet demaîtriser lecheminement du paquet lecheminqu’il doit prendre pour rejoindre sadestina- option TCP qui permet à l’émetteur d’indiquer à l’intérieurdu Leroutage lasource, par enanglaissource routing, estune source leroutage la Refuser par ! comme adressesource Imaginez que surl’interface ex rares cascomme ceux décritsci-dessous. distinguerunpaquet falsifiéd’un vrai paquet, saufdansde maistelle adresse, malheureusement n’yil apasdemoyen de que l’on aimerait bienrefuser tout paquet contenant une dans unpaquet qui aétémodifiée par unpirate. Ilvadesoi spoofing) estune adresse fournie IP falsifiée (IP Une adresse Filtrer les adresses internes NCONTOURNABLE

Règles debasedufiltrage t érta hpte1.Dans ce qui a été décrit au chapitre sse source prétendraitêtreune terne de votre oahs 127.0.0.1 localhost routeur d’entrée permettre àun de utilisateur interne L’objectif enpl lamise par poursuivi Drapeaux TCPetfiltrage enentrée lui faire exécuter uncodearbitraire, en prendre à le contrôlepour parvient silepirate effet, En 3.). chapitre (voir Ceci les aggrave conséquences de la pr compte compte sansêtreprivilégiés aumoment précis des ports sur desservices et d’exécuter cette lacune decontourner permettant ouvrant ainsi un accès privilégié sur root e osbltssrn brésa hpte6. . Cespossibilités serontabordées au chapitre Postes Clients figure 7-1. 7-1. figure suivre lepaquet vers leserveur comme indiqué sur la Si lesource routing estautorisé, lerouteurferaaimablement dont la destination finale est le serveurla destinationfinaleestsensibledont piratepourra envoyervotre à routeur d’entréepaquet un epitpriuirettat asl hpte5. Ce point particulier esttraitédans le chapitre Interdire l’ICMPRedirect table visible del’extérieur, vousluiaffectezune adressenonrou- exemple, pour protéger un serveurqui n’a pas besoin d’être piratesvotre pour contournerpolitique defiltrage.Par paquet. Elle peut malheureusement être utiliséepar les 10.10.0.1 134.158.40.3 134.158.40.3 @source @source POWER FAULT Figure 7–1 DATA ALARM Internet 193.48.97.94 ce code s’exécutera sous le compte sous s’exécutera ce code 10.10.0.1 ace d’un pare-feu estleplussouventde pare-feu ace d’un @dest. @dest . Pourtant, grâceausourcerouting, un la machine. Il existe des mécanismes la machine.Il ROUTEUR, 193.48.97.94 de la connexion sous l’identité du sortir librement, tandisqu’onsortir veut Les dangers du source routing dusource Les dangers ésence de vulnérabilités ésence devulnérabilités du service SERVEURS NEXT HOP: 10.10.0.1 Source Routing=1 Source Routing=1 LAST HOP HTTP PRINT 10.10.0.1 © Groupe Eyrolles, 2005 Message Message 10.1.1.1 root . , © Groupe Eyrolles, 2005 Eyrolles, © Groupe connexion TCP, d’une cas le Dans nombre drapeaux, de certain un initialisée depuis l’intérieur. paquets quientrent, accepterles s’ils sont àunerequête desréponses devra eur dusite. Enrevanche, le pare-feu machine situéeàl’intéri nexionune vers s’agit derefuse Il les paquetsentrants. nedoitdoncentrée tous pasêtre ende confonduaveclefiltrage filtrage Le enentrée. de filtrage estqualifiée politique defiltrage aux interdireressources à unCette internes. d’accéder utilisateur externe rpaxsiat : suivante drapeaux premier vers paquet qui du client part la connexion,de le àl’ouverture 7-3, figure sur la Comme celaest schématisé 7-2). (figure la caractérisent qui bits connexion TCP d’une permet l’ouverture despaquets échangés au momentde Ethereal, de uneanalyse À l’aide connexion. d’une desbitsàl’ouverture TCPl’état et les différe tableauci-dessous donne Le lepaquet. poursavoircommenttraiter drapeaux delaconnexion. Le l’état TCP contenus dansl’en–tête anglais, ...... 0 = Fin: Not set Not Fin: = ...0 .... Set Syn: = ..1. .... set Not Reset: = .0...... set Not Push: = 0...... set Not Acknowledgment: = ...... 0 set Not Urgent: = ...... 0. set Not ECN-Echo: = .... .0.. set Not (CWR): Reduced Window Congestion = .... 0... (SYN) 0x0002 Flags: SYN=1 routeur filtrant vadonc pouvoir s’appuyer sur ces , ACK=0 . Le paquet renvoyé enretour. Le a r un paquet entrant s’il ouvrecon- s’il une r unpaquetentrant le serveur possède possède leserveur nts drapeaux contenusnts drapeaux dansl’en-tête du paquet permettent deconnaître permettent du paquet d’identifier les configurations de les configurations d’identifier la configuration de flags SYN=1 en , Analyse d’uneconnexionTCPavec Ethereal Analyse Figure 7–2 141

7 – Filtrage en entrée de site Les Cahiers de l’Admin – Sécuriser un réseau Linux 142 contournées avec un • ouverture deconnexion configuration est incohérente puisque qu’elledemande à la fois une ACK=0 passer les paquetsqui présentent de paquetsans état. Lefiltrageen entrée est effectué en laissant Le routeur d’entréed’un siteestconfiguré pour effectuer un filtrage D • npqe rsnatl ofgrto asfé uvne: Un paquet présentant la configuration falsifiée suivante ANGER RST=1 ACK=1 ( du site. qui implique quela connexion a été initialisée depuis l’intérieur naison propreprocessus ducorrespondant. RESET

Lesrèglesdefiltrage , RST=1 permet de laisserpasserlesdemandesfermeture permet permetden’accepter quelesretoursdeconnexion,ce ) de connexion,) sur cequipermet leserveur termi- une Ouverture d’une session TCP, session d’une Ouverture , va donc franchir lerouteur ainsi configuré. Cette exemple de TELNET de exemple paquetfalsifié SYN=1 Figure 7–3 sans état peuvent être etsafermeture ACK=1 ou ou RST=1 RST=1 possible dedistinguer d’accepter oude refuser lepaquet. d’accepter À partir de ces informations, la passer Le filtrage sans état, dufiltrageLes limites sansétat ACK=1 neftpu hqepqe,i uftd eadr: paquet,ilsuffitderegarder pourchaque En effet mande enressources CPUet mémoire. nier contient.L’avantage telle d’une refuser unpaquetsebasantuniq en ACK=0 . (*) • pour une connexion TCP,connexion pour une des bits,enparticulier l’état • ; source etdestination ports les • ; IP source et destination adresses les • client.tamalo.com . Elleest . ont paquetsquisuivent tous les bits . Les SYN=1 , en lieuetplace dumode ESTABLISHED positionner à 1 1 le bit positionner à pour cela de recompilerpoursa pileTCP/IP lui suffira Il ! l’extérieur toutpirate pourraUn seconnectermalgré surceserveur depuis refuser detels paquets. explicitem possible deparamétrer autorisant lesconnexions tégé contre lesouvertures de connexion parun filtragesans état 2.4 est destiné à fournir un service intranet. Celui-ci est pro- Linux En voici un exemple pratique. Un 2.4. taines piles TCP/IP, dont celle desnoyaux Linux quand mêmeacceptée comme une ouverture deconnexion par cer- * Cetteconfigurationqui correspondau estcellemode (*) parer àcettedéfaillance, ilestrecommandé d’utiliserlemode 1029 1029 1029 stateless l’ouverture deconnexion parlaconfigurationl’ouverture SYN=1, ACK=0 SYN=0, ACK=1 en anglais, prend la décision d’accepter ou de enanglais,prend ladécisiond’accepter avecun routeur CISCO. Sur de tels routeurs, pour RST uement sur les informationsder- uement surles quece SYN=1, ACK=1 méthode est qu’elleméthode est esttrèspeugour- elle d’entrée peutprendre ladécision elle d’entrée àcau uetr ecnein! à chaque ouverture de connexion ESTABLISHED ESTABLISHED serveurWeb basésur un noyau ent le pare-feu Iptablespour ent le SYN=0 © Groupe Eyrolles, 2005 comme décritci-dessus. . En complément, il est il complément, . En 23 23 23 et ACK=1 SYN serveur.tamalo.com et . Il est donc. Il ACK . ACK SYN=1 quets falsifiés. falsifiés. tromper avec despaquets feu nesefiepasseulemen so états avec dufiltrage avantages Les duréseauco lisées depuisl’intérieur de paquets quisont des réponsesà des l’entrée connections initia- d’autoriser sesrèglesde dynamiquement modifier logiques depaquets)enco (échanges © Groupe Eyrolles, 2005 Eyrolles, © Groupe états, Un avec pare-feu Filtrage avec états qualifié depaquetfalsifié. est pirate àvolontélecontenudece modifier l’expéditeur paquet estémispar Or le paquet sans recouper lesinformations L’inconvénient au du contenu fait confiance est qu’il état sans dufiltrage Postes clients Figure 7–4 client.tamlalo.com Pare-feu avec états, règl stateful 1: Tout estinterditenentrée Autorise lespaquetsenretour: 3 2: client.tamalo.com:1035-> www.google.com:80 t au contenu dupaquet,il est plus difficiledele LINUX FIREWALL en anglais,garde enmémoire lessessions : w.ogecm8 > client.tamalo.com:1035 3: www.google.com:80 -> m eaetdci u afgr 7-4. mmeest sur celadécrit figure la SERVEURS Internet nt deplusieursordres.Comme lepare- lui-ci. Un tel paquet un lui-ci. Unmodifiépar urs. Sur cette de base, ilestcapable urs. Sur de avecuneautrece dernier source. qui, s’il est mal intentionné,a pu filtrage. Ainsi, il Ainsi, filtrage. es defiltragedynamique HTTP PRINT luiserapossible www.google.com réseau. détériorationdu de réponse destemps dimensionné, ce modepeutentraîner une nément actives. Si le pare-feu est sous- lier avec le nombre de sessions TCPsimulta- augmentant avecl’activité réseau,enparticu- nécessite desressources CPU et mémoire (module (module La mise enplaced’unfiltrageavec états ATTENTION connection tracking Mode avec états avec IPtables) 143

7 – Filtrage en entrée de site Les Cahiers de l’Admin – Sécuriser un réseau Linux UDP TCP TCP TCP TCP TCP TCP TCP UDP TCP TCP TCP Protocole 144 512 512 53 143 110 109 69 80 25 23 21 3,18 3 M-IS(ab)Int SMB-CIFS(Samba) 137, 138,139 119 111 79 Port Tableau 7–1 domain TFTP Web SMTP TELNET Finger FTP Biff Exec Service IMAP Pop3 Pop2 NNTP Sunrpc Politique de filtrage « tout ouvert sauf » : liste des servicesfermés des liste : » sauf ouvert tout Politique « defiltrage fermés verstouteslesautresfermés machines. machines qui offrent volontairement connue sont Ces pardéfaut. fermés po :seuls les po en principe est simple Le pardéfaut. sur uneouverture laseulepolitiqueenvisagéedansunpremier tempsavaitétébasée Internet, deTamalo.com informaticiens Les sur étanttrèsattachésàl’ouverture » tout ouvert sauf compromission, « :avant la Politique defiltrage dites nexions En outre, ilrend possiblel’autorisa H323 utiliséenvisioconférence). UDP utiliséspourtransférer des flux protocoles des plupart de la aussi mais ci-après, décrit FTP du protocole quealler.la connexion pas lemême couple deports parexemple lecas C’est en chargedes protocoles complexes où égalementpossibledefa Enfin, ilsera n’est des pare-feu paslecas sansétats. Interdit vers tous sauf www.tamalo.com sauf tous vers Interdit Interdit pour toutes lesmachines toutes pour Interdit Interdit pour toutes lesmachines toutes pour Interdit ftp.tamalo.com sauf tous vers Interdit Interdit pour toutes lesmachines toutes pour Interdit smtp1.tamalo.com sauf tous vers Interdit lesmachines, pardéfaut toutes inactivé pour est Interdit leservice Interdit pour toutes lesmachines toutes pour Interdit Interdit vers tous sauf ns1.tamalo.com sauf tous vers etns2.tamalo.comInterdit Interdit vers tous sauf imap.tamalo.com sauf tous vers Interdit lesmachines toutes pour Interdit lesmachines toutes pour Interdit lesmachines toutes pour Interdit Interdit vers Interdit Interdit pour toutes lesmachines toutes pour Interdit established) erdit pour toutes les machines toutes erdit pour TCP,en mode UDP, aussi enmode mais cequi tion desretours deconnexions(con- ire du deconnexionpour prendresuivi vidéo ou audio (commeleprotocole ouaudio vidéo rts pour lesquels une vulnérabilité est pour lesquels rts les retours de connexionsn’utilisent le service correspondant ; ilssont ; correspondant le service rts sont ouverts seulementversles sontouverts rts © Groupe Eyrolles, 2005 © Groupe Eyrolles, 2005 Eyrolles, © Groupe àl’extérieur. demandel’interven- Eneffet,cetteouverture nouveauservice forceégalement lamiseenplac Elle de sécurité. unaudit étudié poureffectuer est documentation La de la sécurité. un réseau non documenté très important, n’étant dupoint pasgérable de vue tenir àjour,utiles des services laliste unemeilleurepermet connaissance du rése tell déploiement d’une Le défaut. par ou toutestfermé politiquedefiltrage place d’une mise en premier niveau deprotection déployéLe Tamalo.com chez adoncétéla » tout fermésauf »au« sauf ouvert tout :du« Politique defiltrage buffer overflow 515. Malheureus TCP quait surleport En particulier, comme on le voit dans 7-1, le tableau aucun filtre nepar défaut. À la del’ouverture date dupiratage, lapolitiqueétaitdonc celle s’appli- en rendantdéfautleurréseauinaccessibledepuisl’extérieur. par vulnérable,ou bien lancent aucunservice »lesdéveloppeurs pours’assurerqu’ils ne marquer àlaculotte « : solutions n’y ?Il aquedeux 3306 8180 oumySQL enécoutesurleport le port quilanc développeur gérer alorsle ment surlesmachines deleurréseaupourlesteniràjour. ouverts services Com- avoirune devront connaiadministrateurs les filtresjour aussitôtqu’une vulnérab ajoutée à uncircuitvigilance accrue d’in une pardéfaut. Elleexigedesadministrateurs ouverte politique defiltrage deTamalo.c déboires del’équipe Les adaptée. de filtrage bilité a puêtre exploitée sur nos machin entre-temps.es Commecela découverte TCP UDP TCP Protocole UDP sur le service d’impression d’impression surleservice 513 514 514 513 Port 2049 Tableau 7–1 e politique a desconséquences très positives. Elle Who syslog Service cmd Login Nfsd Politique de filtrage « tout ouvertsauf tout Politique « defiltrage e d’un protocole pour l’ouverture d’un protocole pour l’ouverture e d’un également lepremier élémentquisera ilité est annoncée.Deplus,ces mêmes depuis l’extérieur. Il s’agit d’un aspect s’agitd’un l’extérieur.depuis Il om montrent bien les limites d’une leslimites bien om montrent era un serveur Tomcatserveur un era en écoute sur es avant la mise en place d’une règle en placed’une la mise es avant t décrit au chapitre 3, cette vulnéra- 3,cette au chapitre t décrit formation pourmettre très à rapide protéger les utilisateurs malgréeux protéger les ement, une vulnérabilité detype ement, unevulnérabilité ssance des parfaite del’ensemble LPRng au en forçant à établir,au enforçant main- et à en écoute sur ce port aété port enécoutesur ce Interdit pour toutes lesmachines toutes pour Interdit Interdit pour toutes lesmachines toutes pour Interdit Interdit pour toutes lesmachines toutes pour Interdit Interdit vers Interdit Interdit pour toutes lesmachines toutes pour Interdit Interdit pour toutes lesmachines toutes pour Interdit » : liste des services fermés (suite) fermés services des liste : » 145

7 – Filtrage en entrée de site Les Cahiers de l’Admin – Sécuriser un réseau Linux 146 fert des données. des fert – sauf 20 ; le port mandes ou contrôles 21, utilisépourlescom- : leport metenœuvre deuxports De plus, FTP vices car iladeux vices modes car fonctionneexclusivemen FTP ne doitpascontraindre cettepossibilité. defiltres miseenplace La Internet. depuis desfichiers pourrapatrier FTP l’extérieur. des du la utilisateurs site plupart D’autre part, doitévidemmentêtre accessible depuis des diffusés. programmes Ce service pourletéléchargement FTP offre unservice l’entreprise sens. D’unepart, deTamalo.com,Dans le cadre del’activité estutilisédanslesdeux FTP malaisée. de est comportements donttres, l’interprétation trèssouventà etsera l’origine différents modesaétéunesource de diffi danscequi cela estdécrit Comme ! pourtant, ilaurait été plus facileet priver plus nosutilisateurs sûrd’en qu’il estpresquediffusé d’avoi inavouable Transfer (File defichierFTP Protocol) protocoledetransfert Le est tellement malgré) lesfiltres Déploiement deserviceFTPavec (et aveclamiseenpl ouverts tenus 7-2 donne lalistedes coup tableau Le éventuelle de miseàjour service, existence : connue devulnérabilité surce nombreun certain devérifications tion du responsable du réseau qui, avant d’ouvrir le port considéré, effectue TCP TCP TCP TCP UDP TCP TCP Protocole Tableau 7–2 Politique de filtrage « tout fermé tout Politique « defiltrage 443 993 21 10tma www.tamalo.com tomcat 8180 PORT 53 80 25 suit, le déploiement de FTP ledéploiementde FTP suit, de fonctionnement, le mode actif et le mode passif. mode le et actif lemode de fonctionnement, t en mode TCP. Il est différent des autres ser- ace decettenouvellepolitique. la versioncorrespondant. du service HTTPS MP imap.tamalo.com IMAPS FTP oanns1.tamalo.com domain Service HTTP SMTP les machines/service quiontétémain- les machines/service en mode passif ! – utilisé pour letrans- –utilisé ! passif en mode r envisagé un instant de s’en passer.r envisagéuninstantdes’en Et cultés quant à la mise enplace des fil- sauf » : liste des servicesouverts des liste : » sauf www.tamalo.com ftp.tamalo.com Autorisé versAutorisé www.tamalo.com ns2.tamalo.com smtp1.tamalo.com © Groupe Eyrolles, 2005 et son utilisation dans ses utilisent unclient © Groupe Eyrolles, 2005 Eyrolles, © Groupe supérieurs conque vers tous lesports machine 20 externe d’une quel- sible une ouverture de connexion depuis le port donc actif. faudraitrendre Il pos- le mode – FTP clients –entant que d’utiliser Tamalo.comde Considérons leréseau quiseconnecte àson tour depu serveur le estdemandé,c’est 21duserveur, un transfert puisquand TCP versleport enmode enaparté, Comme celaest décrit Filtrage d’unclientFTPactif client et le serveur pour effectuer les actions correspondantes. données du serveur vers le client.donnéesserveur versle du les commandesdu clientleserveur, vers le transfertpuis pour des d’abord : pour Le mode actif met en œuvre une double connexion 2. 21. LeserveurFTP écoute sur le port 1. 7-5. Le fonctionnement deFTP en mode actif est décrit sur la figure L mode actif. La copie d’écran de la figure 7-6 représente les 7-6les diffé- représente lafigure d’écran de Lacopie mode actif. en deFTP fonctionnement le finement permetd’analyser Ethereal ( cole bien défini. Ce dernier utilise un certain nombre de mots-clés Comme toute application client-serveur, FTP s’appuie sur un proto- Analyse duprotocole 4. 3. USER E

PROTOCLE otN+1du client. port Le le schéma). Il l’indique au serveur par la commande 030 sur 1 : N+1(portderendez-vous Leclient écoute surleport Le céa o rvlgévr epr 21 du serveur. schéma) non privilégié vers leport client.tamalo.com client amorce une connexion serveur initieune serveur connexion , du client vers le vers serveur,du client leclient duserveurvers puis PASS FTP FTP FTP actif , PORT Figure 7–5 1030 1030 1029 1029 1029 , ftp, 21 modecommande, port SYN=1, ACK=0 LIST ftp-data, mode data, port 20 ftp-data, modedata,port SYN=0, ACK=1 SYN=1, ACK=1 FTP actif : connexion connexion : FTP actif , QUIT SYN=1, ACK=1 SYN=1, ACK=0 depuis un port N (1 029 sur le sur 029 N(1 port un depuis ), quisontéchangés entre le 2 e otsd rvi ursa ! 024 des postes de travail du réseau 1 à dpi epr 20versle depuisle port . . Nous auxemployés voulonspermettre is son port 20 vers un port du client. du client. 20versunport port is son actif initie le client une connexion 20 20 21 21 21 serveur.tamalo.com OTN+1 PORT . etséae el onxo T.Pqe ° : n°1 Paquet FTP. delaconnexion rentes étapes client demande un transfert par la commandeclient par la demandetransfert un client.tamalo.com 4*256+6=1030 192,168,153,11,4,6 PORT le client demande au serveur, par lacommande server.tamalo.com client.tamalo.com va pas defiltrage. sans poser quelques problèmes de transformeren serveurune simplemachine debureau, cequine connexion estnormaleregardendu protocole, maiselleapour effet 1030du client. Cette le serveur ouvre alors une connexion sur le port l’état des drapeaux ( drapeaux des l’état aut1,l o epseqitast ncar!Pqe °6: n°16 ! Paquet clair transite en qui 10,lemotde passe paquet au notez, ; suivent qui paquets les dans est effectuée tification Figure 7–6 , àl’adresse en mode actif avec Ethereal avec en modeactif flags flags ). Cettedemandeest acquittée, puisle passage au vérifier de possible Ilest . vers connexion ouvre une nagas : en anglais) Analyse d’une session FTP d’unesession Analyse 192.168.153.11 , delere-contacter surleport SYN=1 LIST , ACK=0 autn2 : n°20 . Paquet (cellede . L’authen- 147

7 – Filtrage en entrée de site Les Cahiers du programmeur XUL 148 celle-ci un serviceen écoutesurle port de rendez-vous, àsavoir 192.168.153.11 Ainsi, pourémuler uneconnexion FTPmode actifentre leport duserviceconsidéré. sible d’émuler le protocole àpartir d’une connexion TELNET sur Pour lesapplications qui fonc TELNET Émulation duprotocole FTP c– 44847 –l nc netcat Celaêtre peut faitàl’aide delacommande 847 :44 192.168.153.11 192.168.153.10 client.tamalo.com mande suivante pour écouter sur FTP la vers machine Pour êtrecapable de recevoir la connexion enretour du serveur 7-7). dessous (voir aussi figure Sur leclient PASS [email protected] PASS anonymous USER 21 ftp.tamalo.com telnet QUIT LIST IP1,IP2,IP3,IP4,P1,P2 PORT ,dj tlsedn ntu ur otxea hpte3. ), déjàutilisée dansuntout autrecontexte auchapitre client.tamalo.com , onexécutera lescommandes du tableau ci- client.tamalo.com tionnent enmode TCP, ilestpos- actif avec une connexion connexion une avec actif le port 44 847 (figure 7-7). (figure 847 44 port le , on lancera donc la com- et , ilfaut ouvrir sur ftp.tamalo.com 3 3 3 3 3 3 actif. la telle brèchetoutenconservant une deparadeseront da décrits Deux types 20. source enforçant à 1024, simplement leport à supérieur port pondant àun seconnecter pourrait unpirate effet, Ce faisant, nous ouvririo L’une consiste unfiltrage àutiliser • L’autre consiste à mettre enœuvre un mandataire ( • Ferme laconnexion. 847duclient. 44 20du serveursurleport depuis leport fichiers.liste des Demande la sera Cetteliste 847=175*256+47 44 192.168.153.11 surleport PORT lamachine Ainsi, sur de seconnecter serveur au 192,168,153,11,175,47indique dez-vous. estl’adresseIPdevotremach IP1,IP2,IP3,IP4 Transmet lemotdepasse. Transmet del’utilisateur. lenom ftp.tamalo.com serveur 21FTPdu leport sur Connexion nc relaiera leprotocole FTP.Cette so d’effectuer du suivi de connexion, ou dusuivideconnexion, d’effectuer (utilitaire ns une brèche considérab ns unebrèche Figure 7–7 sur n’importe quel service interne corres- interne n’importesur service quel ine, portderen- du P1*256+P2estlenuméro transmise en mode DATA. transmiseenmode envoyée sera Elle Émulation du protocole FTPactif du protocole Émulation uinsr éalé ucair 8. chapitre au détaillée sera lution possibilité d’utiliser lemode FTP d’utiliser possibilité ns ce qui suit, afinde ne pas ouvrir avec états, doté dela possibilité connection tracking connection le dans notre réseau. En © Groupe Eyrolles, 2005 proxy enanglais. )

applicatif qui applicatif © Groupe Eyrolles, 2005 Eyrolles, © Groupe .Leclient demande au serveurdepasser en mode passif avec 7. .Le 9. .Le 6. 21. Le serveurécoute comme en mode actifsurle port 5. 7-8. figure à la décrit est de FTP enmode passif Le fonctionnement P .Leserveurse metenécouteport surle 8. ROTOCOLE QUIT LIST PASV [email protected] PASS anonymous USER 21 ftp.tamalo.com telnet client.tamalo.com vers le port M du serveur. Mdu port le vers la commande 21 duserveur. port vers le numéro de port au client. ouvertures de connexions toujours toujours deconnexions ouvertures client initie une connexion une initie client connexion une initie client

FTPpassif 1029 1029 1029 1029 1029 PASV Figure 7–8 ftp, 21 modecommande, port SYN=1, ACK=0 . SYN=1, ACK=0 SYN=0, ACK=1 ftp, modetransfert T oepsi : FTP modepassif SYN=1, ACK=1 SYN=1, ACK=1 depuis un port non privilégié depuis un port non privilégié du client vers leserveur vers du client 3 3 3 3 3 3 31000 31000 21 21 21 M Ferme laconnexion. serveur. 755du leport25 sur une nouvelle 7–9)connexion depuis effectuée le client dans une deuxième fenêtre (voir figure Demande laliste desfichiers. Cettelisteseratransmise DATA. enmode E 755 : 100*256+155=25 ils’est deportsurlequel enécoute Le lenuméro mis serveurretourne passif.Demande auserveur depasserenmode Transmet depasse. lemot Transmet del’utilisateur. lenom 21ftpduserveur ftp.tamalo.com surleport Connexion et transmet ce transmet et serveur.tamalo.com necter enutilisant la commande mêmeDe lafaçonqueprécédemment,se con-de ilestpossible Analyse duprotocole iue7-9). figure d’émuler leprotocoleen FTPl’écran mode passif(voir dela Figure 7–9 Émulation du protocole FTPpassif duprotocole Émulation telnet lle sera transmise dans lle seratransmise surleserveuret 149

7 – Filtrage en entrée de site Les Cahiers de l’Admin – Sécuriser un réseau Linux 150 connexion vers l’extérieur. Une règle de filtrage du type l’extérieur. dutype connexion vers filtrage Une règlede de lesouvertures quieffectue toujours En effet,enmode le client passif, c’est passifest bien mieux adap mode FTP Le Filtrage d’un client FTPpassif ajouter. à n’y particulière il ; derègle pas donc a connexion la initie qui serveur FTP. 21du serveur uniquement vers le port deconnexions les ouvertures autoriser devra de commandes,le pare-feu canal le pour particulier. problème de Eneffet, pas nepose duserveur filtrage Le actif Filtrage d’unserveur FTPde démon parle qui estchoisiarbitrairement nonprivilégié surunport l’autre 21, port surle ouvrele serveur, deuxconnexionsvers l’une passif,En mode le client de problème. actif neposepas -enmode serveur -d’un filtrage fonctionnement qu’ils implémentent. Co quelquesoitlemodede clients, de àtouslestypes des’adapter permettra doitprendre en les charge modes actif et passif. Cela lui FTP serveur Le une plagedeports Filtrage duserveur FTPpassif,limitationduserveur à eet ti adalaatraxbsis: auxbesoins l’adapter faudra nements etil dansce Néanmoins, cetterèglepourra internes du réseau. total pas déroger à la de en règle filtrage entrée desadresses demachines qu’en mode passif etdene recommandé den’utiliser estfortement Il FTP dusite. situésàl’intérieur P passifs FT librement desclients d’utiliser permet lesretoursautorise de connexion sielle • Certains clients FTP, clients Certains ce n’est surLinux,sont paslecas souventconfi- • pastoujourslemodepassif. nepermettent FTP vieuxclients Les • oeatftu ebemrhrmi uu ce esr rnfr ! transféré sera ne octet maisaucun marcher semble tout actif mode Si mode passifplutôtquel’actif. heureusement,Web,un navigateur sur re e ihesdpi n R utp : desfichiersdepuis une URL dutype trier prennent nativement en charge le protocole FTP, ce qui permet de rapa- !Plus bien... saufletransfert passe se tout sont lescommandes fonctionne, acceptées, FTP : ment anormal un fonctionne- vadonc constater il actif en uneconnexion mode tente en mo par défautpourtravailler gurés ftpd . stiné à fonctionner enmode stiné àfonctionner s ont étéinitialiséesdepuisl’intérieur, rtains cas impliquer des dysfonction- le navigateur tente la connexion en laconnexion tente navigateur le enyu noe:les navigateurs encore ennuyeux de actif.un utilisateur non Si averti mme cela a été décrit ci-dessus,le cela aétédécrit mme té à la problématique du filtrage. du problématique à la té iln’estde le choisir pas possible Pour le des données,canal le c’est ftp:// server © Groupe Eyrolles, 2005 .tamalo.com/ ESTABLISHED . Mal- . , qui Avec le service Avec leservice 535. 65 152 et 49 placer entre pourse » registeredports les « et » knownports well « onles Ainsi, évitera service. aucun par quinesontréservés des ports prévoir uneplagedequelquescentainesports. prévoir de exemple unedizaine par accueillir tempsàêtre Pour qui libéré. un certain mettra unnouveau port ouvrir va mêmeconnexion d’une En effet,chaquetransfert assez importante. esttrès FTP Attention,si votre serveur © Groupe Eyrolles, 2005 Eyrolles, © Groupe lent pare-feu. Linux/IPtables bien présente configuré etdesuivi conn avecétats trage celui-ci possibilités de les un Aumatériel, choisir de moment lesdifficultés. decontourner descas la plupart dans Ethereal, permettra comme d’outils àl’aide réseau, le dans en œuvre mis sont qui des protocoles FTP.protocole du cas le l’analyse dans de problème, décrit Encas aété cela ellepeut car prudence avec faite la tout, vivement recommandée. Malgré oùcela est cas possible, unepar défaut politiqueoùtoutestfermé est même un minimum de d’effectuer aujourd’hui Pourtant,prise. même dans des contextes peu sensibles,il est indispensable politique es de sécurité choix d’une Le il est possible decontrôler le entrepare-feu En introduisantun lerése En résumé… /etc/ftpaccess : FTP nexion àdestinationduserveur Il faudra donc ouvrir les ports corres Cette commande indique au service Cette commandeindiqueauservice Il est intéressant les Il connexions delimiter cette plageet d’autoriser plage la connexion FTP, desserveurs la plupart Sur il de est possible delimiterlaplage ports oslsprssté udl e1024,pourlaconnexion 1 situésaudelàde tous lesports • ; 21pourlaconnexioncommande port le • passive port 0.0.0.0/0 61000 61100 61000 port 0.0.0.0/0 passive 100–6 100 61 – 000 61 data WU–FTPD apaed ot s iié a algesiat : par lalignesuivante estlimitée plagedeports . La . . , trèsrépandusousLinux,il , trafic entretrafic cesdeuxmondes. engendrer des dysfonctionnements, commeengendrerdysfonctionnements, des ftpd exion devront être étudiées. Le couple êtreexion devront étudiées. Le pondants pour les ouvertures de con- de pondants pourlesouvertures connexions simultanées, il vautmieux t indissociable des en toutes les caractéristiques d’un excel- d’un toutes lescaractéristiques sollicité, prévoyez une plage de ports de prévoyez uneplage sollicité, au local de l’entreprise et l’Internet, de l’entreprise au local filtrage en entrée enentrée de filtrage site. Dansles d’ouvrir les ports les ports d’ouvrir mise en place des mise en faut modifier le fichier fautmodifier le enmatière defil- jeux pour jeux pour l’entre- ftp–data data filtres doit être doit filtres (données). data dans la dans sur 151

7 – Filtrage en entrée de site chapitre 8

Postes de travail

Serveurs [root] # _ internes

HTTP DNS [root] # _ Serveurs publics (DMZ)

Internet

SOMMAIRE B Définition des zones et flux à l’intérieur du réseau de Tamalo.com La segmentation du réseau en de multiples sous-réseaux est un B Établissement de la topologie moyen de lutte efficace contre la propagation d’une du réseau compromission. Ce chapitre décrit et illustre les techniques B Segmentation du réseau nécessaires à cette compartimentation des réseaux. grâce aux VLAN B Protection des postes de travail : proxy et traduction d’adresse IP. B Configuration des pare-feu avec IPtables B Protection du réseau sans fil

MOTS-CLÉS B DMZ, zones, flux et pare-feu B Subnet, 802.1Q, 802.1X B ARP cache poisoning B arpwatch, proxy, SOCKS B journalisation, IPtables B source NAT, IP Masquerading B PAT (Part Address Translation), destination NAT

© Groupe Eyrolles, 2005 Les Cahiers de l’Admin – Sécuriser un réseau Linux 154 cette techniqueestcomplémentairedes decelleplusancienne : Netw (NAT d’adresses de traduction pour protéger lespostesdetravail, Pourtopologie adoptéeparTamalo.com, la nousétudierons quels bénéfices, risera seulementun nombre certain àl’autre. zone identifiés deflux passer à d’une auto- qui ouunpare-feu seront zones reliées parfiltrant entreun routeur Les elles aux autres, sont desgroupes affectés demachinesouserveurs. auxquelles unespar rapport les isolées deszones à définir consiste cloisonnement Le ! nexions debureau verslesmachines n’avaitd’impression descon- pasbesoin de pouvoirouvrir certainement que lesdroits dont il abesoinpour tr de bon sens qui consiste à ne donner, pare-feu,n’estsi leréseau d’un pascloi reproduire defigure se pourrait Cecas la présence interne. malgré réseau des communications du l’ensemble aeu le pirate la possibilité d’écouter d’impressi service un offrait machine qui :après avoir pris le contrôle d’une tale dans les mécanismes de protection auchapitre compromissiondécrite La del’entreprise. faitement auxnouvellesexigencesdesécurité sation pour interne répondre par- doit être complété par uncloisonnement particulièreme du mondedevient Internet l’extérieur,situé à l’inté unpirate par decontrôle prise vécu la avoir Après ? Pourquoi cloisonner DMZ,l’anglais place dansla de pa et quels sont, le réseau co exemple d’un Àpartir efficace. plus L’analyse desflux permet dedéfinir la topologie la protection réseauoffrant la réseau local del’entreprise. même du depuis l’extérieur,mais aussi entreà l’intérieur les différentes zones ment, des filtres seront mis en plac pour conséquencela compromission comp Web, serveur d’un compromission avoir comme la puisse bénin, incident Nous allons maintenant cloisonnerle ainsi quecelleutiliséepourpr dece IPtables configuration la détail chez Tamalo.com. lesdeux pare-feuutilisés construire Nous décrirons en Enfin, nous verronscomment coup le rmi les services du réseau, ceux quidoiventprendreréseau, du rmi lesservices otéger des serveurs spécifiques. otéger desserveurs DeMilitarized Zone il a été possiblede tirer desmécanismes ncret, nous décrirons commentncret, nousdécrirons segmenter s pare-feu positionnés en entrée de site, rêt de protéger le système informatiquesystème rêt deprotégerle de plusieurs machines de Tamalo.com deplusieurs machines availler. Dans notre exemple, leserveur à chaque utilisateur et à chaque service, utilisateur etàchaque chaque à e pour limiter l’accès non seulement e pourlimiterl’accès réseau d’entreprise. Cela évitera qu’un Celaévitera réseau d’entreprise. 3 amontréunedéfaillancefondamen- ork Address Translation) et comment sonné. Il faut donc appliquer la règle fautdoncappliquer la sonné. Il le Linux/IPtables a été utilisé pour on ouvert à l’extérieur denotre site, à l’extérieur on ouvert nt évident. Le processus desécuri- nt évident. Le lète du Avec réseau. ce cloisonne- . © Groupe Eyrolles, 2005 proxys . rized Zone en anglais, enfrançais. rized ou simpleme démilitarisée nt zone : DeMilita- compromettrait pas tout le réseau. Cette s’appellezone la DMZ très particulière dansune zone semblés © Groupe Eyrolles, 2005 Eyrolles, © Groupe promission. Pour limiter le so d’eux estpossiblequel’un exposés. Il depuis l’exté accessibles sont Ces services : DMZ Serveurs accessiblesdepuis l’extérieuretl’intérieur accessibles parlespostesdetrav seront trois quiaétéretenu. services tiers au modèled’architecture Certains ressourcesà ces – pa jamais directement – pourront utilisateursextérieurs Les nedoivent pasêtre accessibl Ces services Serveurs applicatifs internes mode actif. en FTP rieur, possibles,ycompris àtouslesservices avoir a machines doiventen revanche Ces publics. desserveurs oudepuis internes celle serveurs des zone depuis la Aucun accès n’est de cettezone, quecesoit nécessaire depuis l’extérieur travail de Postes elles-mêmes. zones verrons lesfluxmis en œuvre versetdepuisl’extérieur, ainsiqu’entre les Chacune des trois estprésentée zones la topologie réseau. tres desune étape essentielle pare-feudans ladéfinition de entre C’est zones. La connaissancedesfluxentre les différ l’intérieur duréseaudeTamalo.com Définition desfluxàl’extérieuret 8-1. letableau commel’indique différentes, zones Trois groupes danstrois seront de machines ontétéidentifiés.Ils classés Tamalo.com Définition deszonesduréseaude Postes de travail Serveurs applicatifs internes applicatifs Serveurs Postes detravail Tableau 8–1 SQL, LDAP, NFS, PRINT, IMAPS s conséquences decetteév s conséquences ail et/ou par les serveurs publics. et/ou parlesserveurs ail Zones du réseau tamalo.com réseau du Zones it un jour ou l’autre l’objet d’une com- d’une l’objet it un jour oul’autre exté- aumonde ccès sansrestriction surveillée, dont la prise de contrôle dont de prise la ne surveillée, malgré toutaccéderindirectementmalgré dans les paragraphes suivants.les paragraphes dans Nous rieur et l’intérieur. Ils serontl’intérieur. donctrès et Ils rieur entes zones aideàconfigurerentes lesfil- zones es depuis l’extérieur duréseaulocal. l’extérieur es depuis r le biais des serveurs publics,grâce r lebiaisdesserveurs DNS, HTTP, FTP publics applicatifs Serveurs entualité, ilsserontras- 155

8 – Topologie, segmentation et DMZ Les Cahiers de l’Admin – Sécuriser un réseau Linux 156 Topologie pare-feu avecunseul Figure 8–1 constitue un sous-réseau( constitue Internet. pare-feu estconnectéà des chacun trois etau Le réseau réseaux internes place de VLAN comme un cela estdécrit peuplus loin dans ce chapitre. - ou seulement deux interfaces si on opte pour la mise en quatre interfaces réseau 8-1, met en œuvre un seul pare-feu avec Cette solution, représentée sur la figure Topologie àunseulpare-feu Chacun desréseauxintern Topologie duréseau les interconnecter. entretransitant ilreste àchoisi elles, données de que lesflux réseau étantdéfinies,ainsi du différenteszones Les pareet un boîtiers séparés,unrouteur et defi Cesdeux fonctionsderoutage réseaux afindenelaisserpasserflux autorisés. queles un est égalementnécessaire d’effectuer Il place entre cesdifférents sous-réseaux. sent communiquer entreun mé elles, Postes detravail subnet es se voit affecter une plage d’adresses IP qui uneplaged’adresses es sevoitaffecter LINUX FIREWALL eth3 ) indépendant.Pourpuis- machines queles eth2 r lameilleurepour topologiederéseau -feu, ou bien rassemblées enunseul. ou bienrassemblées -feu, canisme de routage doit êtreen de routage doitmis canisme ltrage peuventêtreltrage réaliséespardeux eth1 filtrage depaquetsentre filtrage les sous- Internet Services internes Services © Groupe Eyrolles, 2005 DMZ HTTP FTP © Groupe Eyrolles, 2005 Eyrolles, © Groupe compromission de tousleséléments de etde protection serveurs une des alors L’avantage deuxiè surcoût decette le base Linux, de ce choix surune étantréalisée l’implémentation mais peuplusimportant, budget un sera mesurable 8-2).nécessite Elle un finalementretenue pour Tamalo.com (voir la figure : ilsubsistera réussie d’attaque encas mettant enjeu topologie deuxième La Tamalo.com Topologie àdoublepare-feu adoptéepour leréseaude àl’extérieur. rapport uneseulebarrière deprotectionpar inconvénient estd’offrir principal Son : sont topologie decette avantages Les sa facilité d’exploitation, puisqu’il n’ • •son coût réduit; dans le réseau, un seulendroit ou déploy Postes detravail eth1 FIREWALL A FIREWALL B eth0 eth0 eth1 eth2 me solution estfinalement acceptable. deux pare-feu est celle que nous avons que pare-feu estcelle deux y aà gérer qu’un seulboîtier pare-feu notre réseau visibles depuis Internet. visiblesdepuisInternet. notre réseau s machines internes, même en cas de mêmeencas s machinesinternes, Internet er les règles de filtrage de defiltrage et er lesrègles routage. Services internes Services DMZ HTTP FTP et passage obligépar la DMZ Topologie pare-feu avec deux Figure 8–2 cultés d’exploitationengendrées. qu’elleaurait Tamalo.comdes diffi- et coût son de en raison Cette solution n’apasétéretenue pour des ressources humaines plusimportantes. nistration de matériels différents, ce qui suppose En contre-partie, un telchoix nécessite l’admi- rabilités. rents, ils ne présenteront pasles mêmesvulné- lespare-feu sontissusdeconstructeurs diffé- sion del’un permettecelledel’autre.effet, si En laafin compromis- d’empêcherque B Aeten en en place deux modèles différentsde pare-feu La méthodeplus sûre la aurait consisté àmettre expr-e ifrnse tB Aet Deux pare-feu différents en L E

NEC

PLUS

ULTRA

157

8 – Topologie, segmentation et DMZ Les Cahiers de l’Admin – Sécuriser un réseau Linux 158 l’adresse de l’adresse tionner cette route de façon dynamique par la commande : : parlacommande façon dynamique tionnercette route de 27 bits à 1 comme l’indique lanotation 1 comme l’indique bitsà 27 255.255.255.224 adresses sont quent, leurs delaDMZdoiventêtre vi serveurs Les DMZ 8-3. figure surla estdécrite IPduréseau configuration La Tamalo.com Détails delaconfiguration réseaude duré etd’audit outils desurveillance leurs défaillances les possibles.es disponibleset Si servic déterminer les donc à élémentsurlatopologiedu d’aucun priori a nedisposait il machines, certaines de contrôle le pris d’avoir avant En effet, internes. attaqueen direction une nouvelle de travail oudesserveurs es despost leré pour scanner - pournous précieux - Arrivéà ce stade de la compromission, le pirate aura besoin d’un peu detemps n ot ttqeetaotevr e evusitre : internes Une route statiqueest ajoutéeverslesserveurs statique Route vers est dirigée route pardéfaut La pardéfaut Route : au réseaudel’entreprise contrer la et compromission la détecter unte laisser nous devrait leur rôle, cela osaosafcélsarse el ao uvne: Nous lesadresses avonsaffecté la façon de suivante éeu;elle ne peutpasêtre affectée àune machine. réseau • • • • • • 193.48.97.92 gw 255.255.255.0 netmask 192.168.154.0 net add route 193.48.97.91 gw default add route l’interface 193.48.97.69 193.48.97.68 193.48.97.67 193.48.97.66 193.48.97.65 193.48.97.91 broadcast eth1 etlarsed evu T : FTP duserveur estl’adresse : SMTP duserveur estl’adresse : Web duserveur estl’adresse : DNSsecondaire du serveur estl’adresse : DNSprimaire duserveur estl’adresse dé par du routeur est l’adresse estlemasque de sous-réseau ( d aefuA. du pare-feu , ellenedoit pas non plus situéesdanslaplaged’ 193.48.97.64/27 seau seau que nousavons mps suffisant dans la plupart des cas pour des cas mps suffisantdans laplupart 193.48.97.91 rapidement en corrig seau afin d’être en mesure de prépareren mesurede afind’être seau /27 sibles depuis l’extérieur.sibles depuis Par consé- réseau après la DMZ. Il luirestera réseauaprèslaDMZ. Il . . 193.48.97.64 être affectée à une machine. à être affectée www.tamalo.com ftp.tamalo.com faut et sera doncsera à faut et affectée adresses routables affectée smtp1.tamalo.com . Il est possibledeposi- . Il © Groupe Eyrolles, 2005 netmask mis enplacejouent ns1.tamalo.com 193.48.97.95 eant le problème.eant le ns2.tamalo.com est l’adresse du est l’adresse ): ilcomprend est © Groupe Eyrolles, 2005 Eyrolles, © Groupe 192.168.155.254

Ethernet 193.48.97.91 193.48.97.92 A C Firewall FW-A Firewall FW-B 123456 78910 11 12 1x 7x 2x 8x 3x 9x A 4x 10x 5x 11x 6x 12x 1x 7x 2x 8x 3x 9x B 4x 10x 5x 11x 6x 12x 192.168.154.254 Internet

Ethernet A C 123456 78910 b 11 SW2 VLAN2 12 1x 7x 2x 8x 3x 9x A 10x 4x 11x 5x 12x 6x 1x 7x 2x 8x 3x 9x B 10x 4x 11x 5x 12x 6x 192.168.155.1 192.168.155.2 193.48.97.65 Client2 Client1 DNS SW 1

Ethernet A C 12 78 3456 91 0111 2 1x 7x 2x 8x 3x 9x A 4x 10 x 11 x ID 5x C 6x 12x 1x 7x 2x 8x 3x 9x B 4x 10 x 11x 5x 12x 6x 193.48.97.67 WWW SW2 VLAN3 192.168.154.110 192.168.154.100 192.168.154.130 192.168.154.12 SQL NFS 193.48.97.69 PRINT LDAP FTP 0 Topologie IP duréseau, configuration Figure 8–3 159

8 – Topologie, segmentation et DMZ Les Cahiers de l’Admin – Sécuriser un réseau Linux sont privées et doncsontno privéeset pour supporter le protocole 802.1X. modifiée despostes TCP/IP l’ensemble une pile sur nécessiter de l’inconvénient a technique lente sécurisation del’accès au réseau. Cette tion del’utilisateur. Ilapporte ainsi une excel- VLAN en fonction durésultat de l’authentifica- du permetl’affectation 802.1X Le protocole plusieurs matériels géographiquement distants. tées sur le mêmecommutateur réseau ou sur peuventmachinesêtre effectuéssurdes connec- ques connectées auréseau. Ces regroupements menter demanière logiqueles machines physi- L’objectifcomparti- principaldes VLANest de Acomprises dans l’intervalle de classe • : adresses Les plages d’adressage. paquets à destinationouen provenance deces Inversement, il nedoitpaslaisserentrer des nance ouàdestination de cesplages d’adresses. laisser sortir desonsite despaquetsenprove- théorie sur Internet.routeur Un nedoitpas site. Ces adresses ne circulent doncpasen chacun pour une utilisation interne àchaque routables, sont laissées àla disposition de dites privées,Des plagesd’adressesIP ounon ecas C comprises entre de classe • ecas Bcomprises entre de classe • 160

172.16.0.0 10.0.0.0 VLAN baséssurleprotocole 802.1X 192.168.0.0 B.A.-BA B.A.-BA B.A.-BA Plages d’adresses Plages privées IP Les réseaux privés virtuels à 10.255.255.255 et LE FIN DU FIN FIN DU FIN LE et 172.31.255.255 n assignées sur Internet. 192.168.255.255 ,

routée et donc en théorie invisible depuisl’extérieur.en théorie donc routée et 255.255.255.0 ’ui ecoxetaosl LN: VLAN le alors est choix de l’outil Pour même zone. d’une le réseau, segmenter lesmachines ment Ethernet n’est il descas, Dans laplupart pas ?LesVLANetleurs limites Comment segmenter pardéfaut Route postesde travailse voient affecterle Les travail de Postes pardéfaut Route 192.168.154.130 192.168.154.120 192.168.154.110 192.168.154.100 local. n’ontdu réseau dehors en cesserveurs pasd’existence car pour lasécurité d’économiser sans sesoucier logiques L’utilisationdes réseaux créer de nonroutablespermet plaged’adresses d’une internesse serveurs Les Services internes Nous uncommutateur. verronsquisuitquelaDMZsur dansce aétéisolée : pu être adoptée tion suivanteaurait un numéro affecter de VLAN. Pour le réseau deTamalo.com, laconfigura- dechaquecommutateur physique.Chaqueport sevoit VLAN port par existe plusieursfaço Il VLAN parportphysique charge par la plupart descommutateurs modernes. par laplupart charge en estprise cette technologie 802.1Q et norme la par VLANest décrit Le nées dansle • VLAN 4 : postes de travail. de :postes travail. 4 VLAN ; • internes : services 3 VLAN • •VLAN2: DMZ; route add default gw 192.168.155.254 gw default add route 192.168.154.254 gw default add route subnet . Il s’agit également d’une plage d’adresses réservée non réservée plaged’adresses s’agitégalementd’une . Il est l’adresse du serveur d’impression. serveur du estl’adresse LDAP.serveur du estl’adresse SQL. serveur du estl’adresse NFS. serveur du estl’adresse 192.168.154.0/24 ns d’implémenter des VLAN. La plussimpleestle des VLAN. La d’implémenter ns verrontdes adress affecter possible de rassembler surunmêmeseg- de rassembler possible Virtual Local Area Local Network Virtual les adresses. C’est également unplus les adresses. C’est es non routab subnet © Groupe Eyrolles, 2005

192.168.155.0/ . les position- © Groupe Eyrolles, 2005 Eyrolles, © Groupe ! surlaquelleiltentedeseconnecter soit laprise des postes –celui de travail 4 – leVLAN affecter se verra active duréseau.Il n’importe prise quelle en fonction de Ainsi, unutilisateurdusi MACde lamachinese qui connecte. permet d’affecter lede VLANCe estplussoupleen type VLAN, non pas au port,VLAN paradresse MAC mais en fonction de l’adresse 8-4). –(voir le schémadelafigure OSI 3 dumodèle – au niveau decommuniquer avecl’autre machines del’un da uneinterface possèdera Cedernier Pour lesfaire communiquer, in il faudra machines étaientsurdescommutateur foncti pointdevue 4.Du et 3 les VLAN 2nepeutpascommuniquer avec 2 dumodèleOSI.Ainsi,leVLAN niveau –au machines connectéesLes surlestrois VLAN ainsidéfinis sont isolées S S K K PS OK2 OK1 HS2 HS1 M,VLAN3: 2,3,5,7,8,10,11,12 DMZ, VLAN2: 1,4,6,9 Production, Réseau deproduction STA- ACT- COL- 1234567891011 te disposant d’un PC portable peutseconnecter PC sur portable te disposant d’un 12 1 23456789101112 terme d’administration réseau puisqu’il son adresse MAC que etcela, quelle ns chacundesVLAN aux permettant s différentsconnectés entre noneux. troduire unrouteur dansle schéma. onnel,passe commesices toutse PO WE R FA LT UL DA TA ALAR M ROUTEUR DMZ CONSOLE iràvlnéctearse! adresse volonté cette fier à simple commande commande simple l’administrateur ( façon absolue.de Linux parexemple, Sous pour une MACmachine pasd’authentifier ne permet Malheureusement,l’adresse savoir quefaut il Linux. arpwatch arpwatch Des logiciels dudomaine publictelsque travail en empruntant l’adresseIPdecelui-ci. necte à la place d’un serveur ou d’un poste de dire qu’une personne mal intentionnée secon- Cela permet d’éviter les volsdeprise, c’est-à- ment. encasdechange- du commutateur pondant d’adresse MAC etde verrouiller le port corres- les changements détecter de commerce du Il estpossible surla plupart descommutateurs authentification par l’adresse MACauthentification est disponible en standard sous permettent degérer ces situations. OUTILS root Vol de priseet ifconfig VLAN parport Figure 8–4 ) dela machine, une permet de modi- permetde 161

8 – Topologie, segmentation et DMZ Les Cahiers de l’Admin – Sécuriser un réseau Linux empoisonnement des des caches empoisonnement 162 le protocole ARPpar le protocole Attaque MiMsur Figure 8–5 S S K K PS OK2 OK1 HS2 HS1 PS OK2 OK1 HS2 HS1 PMAC IP PMAC IP MAC IP MAC IP Ip@MACp @MACs @IPp @MACp @IPs @IPh server de arp Table @MACp @MACp @IPp @MACh @IPs @IPh host de arp Table @MACp @MACs @IPp @MACh @IPs @IPh server de arp Table @MACp @MACs @IPp @MACh @IPs @IPh host de arp Table STA- ACT- COL- STA- ACT- COL- La technique desVLAN technique La permetde séparerles traficsentre ceszones. internes. descommutateurs partagent postesdetravail avec les serveurs Les suruncommutateur DMZest installée indépendant. La Configuration VLANretenue pourTamalo.com 1234567891011 1234567891011 MAC : MACs IP : IPs server MAC : MACs IP : IPs server MAC : MACh IP : IPh host MAC : MACh IP : IPh host 12 12 1 23456789 10 1112 1 23456789101112 MAC : MACp IP : IPp pirate MAC : MACp IP : IPp pirate © Groupe Eyrolles, 2005 CONSOLE CONSOLE Le rôle dumandataire( rôle Le téger les postes de travail tout en leur donnant l’accès àl’extérieur. toutenleurdonnant lespostesdetravail l’accès téger machines du et réseau interne sont pa IP. etautres protègent Cestechniques desscans attaques les adresses quelques que laissant visible àl’extérieur ne en tion interneduréseau DMZ. © Groupe Eyrolles, 2005 Eyrolles, © Groupe l’utilisateur. de travail de TCPà destinationduposte sontou UDP qui ouverts co ont une caractéristique applications IP etla vidéoconférenc téléphonie sur d’applic classe nouvelle une Aujourd’hui Proxy des techniques Les Proxy etNAT Le un postedetravail. Pourn’estil autant, les pas question d’ouvrir, postesdetravail, les vers • s’agit depermettre aupersonnelTamalo.com de Il ce type d’utiliser • u oslsprs! sur tousles ports cast réseau destinéelesdomainesen particulieràlimiterde L’objectif initial des VLANest une segmentation fonctionnelle du terme desécurité. savoirfaut qu’elles n’apportent Bien queles fonctionnalités décrit D remplissage destablesd’ grâcedéniAinsi unpiratepourra, àundeservice entraînantle chargepasn’est toujours celui quel’onserait endroit d’attendre. ment du commutateur à la mise sous tension et en casde sur- prenons unrisquequ’ilfaut bien évaluer.comporte- Eneffet,le simple uet ! ouverts mêmetousles parfois entières, il s’agitdeplages plussouvent, qu’ellesnombreux utilisent.Le ports d’application. proxy ANGER . En utilisantcette fonctionnalité à des fins de sécurité, nous

Leslimites desVLAN étant visibledepuisl’extérieur, il hub quilaissepassertousles proxys proxy adresses MAC,faired’un etduNAT configura- la demasquer permettent ) est de relayer une application de ce type vers relayerde ) est uneapplication decetype pasuneprotection absolue en es soient très séduisantes, il trafics, lesrépétantmême trafics, mmune : elles enœuvre mettent des : elles flux mmune ot udsu e1024doiventêtre au-dessus de ports rticulièrement bien adaptéespourpro- rticulièrement e,développe trèsrapidement. se Ces ations, dont font partie par exemple la exemple par partie font dont ations, est judicieux de l’installer dans la est judicieux de l’installer switch broad- un Les VLAN peuvent êtreaussi compromis pardes attaques dutype de de pour server arp–reply server Man inthe Middle groupes de commutateurs plutôt qu’un seul sont utilisés. chezgies.Tamalo.com, C’estlechoixquiaétéfait où deux », plutôt qu’avec cestechnolo- de l’air sec isolées le soientpar « Laprudence veut donc que lesparties du réseau devant êtrebien nation après les avoir écoutés ou même modifiés. iue8–5.Le pirate envoie une trame figure machine machine host server sont alors empoisonnés, et tousles paquets de est la sienne ( estlasienne ( host falsifiée à sont envoyés à , luiindiquant queMACl’adresse dela machine sur le protocole éeulclae acmad : réseau local avec la commande vi ucair 9). (voir auchapitre arpwatch, même ou karpski fics ARP suspects à l’aide d’outils tels que adresseMAC Une autre méthode consiste àdétecterlestra- hostname -s arp arp flux entredeuxdétournemachines les En attaquant surleprotocole ARP, lepirate veillance,possible ilest d’utiliserdescaches un un aurait pulefairesiellesavaient étéreliéespar sienne. Ainsi, ilespionnetrafic le comme il contre lesattaquessurle protocole ARP server MACp MACp hub statiques surlesmachinessensiblesdu . Pour se protéger contre ce type de mal- pirate ). Il envoieégalement). unetrame ). Les caches , luiindiquant que l’adresse MAC BON À BON SAVOIR , qui les relaye à leur desti- arp arp–reply comme lemontre la Protection arp unIDStel que snort de de falsifiée à la host etde host 163 via la

8 – Topologie, segmentation et DMZ Les Cahiers de l’Admin – Sécuriser un réseau Linux B avec SOCKS.sont pascompatibles ne s’adresse. Toutes les applications client-serveur serveur publicd’application réseau auquel il poste clientcaché du monde extérieur, vers le IPd’un mandataires pour relayer le trafic réseau 1928 estutilisé par les tocole défini par la RFC d’un pare-feu sansdégrader lasécurité. Cepro- tions client–serveurutilisent qui lesservices lités nécessaires au développement desapplica- protocoleSOCKSfonctionna-est un offrantles 164 http://www.socks.permeo.com Flux de données avec unproxy avec dedonnées Flux P ROTOCOLE

SOCKS Figure 8–6 http-proxy.tamalo.com:3128 utiliser leproxy : Client Web configurépour réseau, le un constituant position de sa fait Du ouverts par le serveur extérieur endirectionextérieur du serveur le par ouverts flux nécessaires serontdonc considéré. Les nom, endirection duserveur ’des IP du l’adresse nesontjamaisvues del’extérieur. internes est quelesmachines Seule En ce un avan qui concerne lasécurité, desfl 8-6donnela description figure La relayer lesfluxconsidérésen ouverts exclusivement à destination du à destination exclusivement ouverts nécessaires ports aufonctionnementrelayéeLes seront de l’application sera dirigée versle dirigée sera utilis voudra poste detravail Lorsqu’un Postes detravail Limiter lessites auxquels il serapossi • Tracerl’extérieur. les connexionsvers Un • veiller le trafic vers l’extérieur en vers l’extérieur le trafic veiller déré. Par exemple, onpeut mettreun enplace d’interdire aux postes de travail l’accès à certaines catégories de sites Web. desites catégories àcertaines l’accès detravail aux postes d’interdire proxy peutégalementêtreut proxy proxy estdévoilée. www.google.com Port :80 Port . Ce dernier effectuera ensuite la requêteensuite lason en effectuera . Cedernier http-proxy.tamalo.com ne voit que leproxy : direction dupostedetravail. journalisant l’ensemble des connexions. journalisant l’ensemble point de passage obligé pour sortir du sortir pour obligé point depassage ls ’ursfn : fins àd’autres ilisé ux de données danscetteconfiguration. tage important de ce type desolution type dece important tage er l’application considérée, sa requête er l’application proxy ble d’accéder avec le protocole avec le consi- d’accéder ble Internet . proxy Port client : 1029 proxy Port : 3128 sera ainsi utilisé poursur- utilisé ainsi sera proxy © Groupe Eyrolles, 2005 . Ce dernier vaensuite . Cedernier HTTP dans le but http-proxy.tamalo.com PROXY HTTP DMZ © Groupe Eyrolles, 2005 Eyrolles, © Groupe que celledes plus récente technologie (Network Address Translation) NAT Le Traduction d’adresses NAT irmdfele–êed aut(orfgr 8-7). dupaquet(voirfigure l’en–tête modifie nier office de routeur. Aurouteur moment le oùunpaquettraverse NAT, ceder- NATLe faisant machine routeur oud’une estimplémentéauniveaud’un que lesbénéficesduNAT vont bienau-delàdecetaspect. NousInternet. IPpouraccéderà verronsdans cettepartie uniqueadresse unen autorisera traduction d’adresses de Ainsi,latechnique IP surInternet. blème d’adresses de lapénurie considéré commenique,souvent leseul icetlarseI edsiain npread NT: DNAT de on parlera IPdedestination, l’adresse c’est Si • ilarseI oreetmdfé,o alr eSA : deSNAT source IP estmodifiée,on parlera l’adresse Si •

06712699 06846337 NAT

IP V4 IP 4 500

C1 30

TCP

IHL 5x4o IHL No séquence No

Checksum

TOS .

193.48.199.3 @IP src @IP

00000000 44o

C7 03 00 2C 00

acquité urgent totale : totale

Ptr. Messag Ptr. e No séquence No Longueur 6x4o

06712699

Longueur en-tête : en-tête Longueur C1 30 0C 37 6 002

En-tête IP

Identification Option

Flags, 002 SYN=1 002 Flags,

193.48.199.200 proxys @IP dst @IP semble de machines à utiliser une machines àutiliser semble de , est d’apporter uneréponse aupro- , estd’apporter

rdcindarse IP, estune d’adresses , traduction

C7 C8

00 00 0800 0 Fragment

64o . L’un tech- decette desobjectifs Wsize 2048 Wsize

Flag 0 Flag Bourrage à Bourrage En-tête TCP 04762840

1D 06

04 03 4037

1027 CP TC TTL 29 hops 29 TTL

FCS (IP) FCS

Port src Port Checksum TCP 06 TCP Source NATSource Destination

00 00 15 04 76

21 ftp 21 urgent

Ckecksum IP Ckecksum

Port dst Port Ptr. Message Ptr. . tionsource, del’adresse du donc SNAT. à dent tous les deux à un mécanisme de substitu- Le NATdynamique etleNAT statique correspon- ! NAT ou Statique Dynamique NAT pas avec : neles confondez à confusion Attention, les acronymesSNAT et DNAT prêtent 9.6.5. 193.48.97.74 193.48.97.73 193.48.97.72 192.168.155.4 193.48.97.71 192.168.155.3 192.168.155.2 192.168.155.1 Adresse Interne dans une trame Ethernet unetrame dans Détail des en-têtes TCP/IP Figure 8–7 Tableau 8–2 B.A.-BA B.A.-BA entre les adresses IP internes et externes et IPinternes adresses les entre Source NAT NAT etDestination NAT statique : correspondance :correspondance NAT statique Adresse Externe 165

8 – Topologie, segmentation et DMZ Les Cahiers de l’Admin – Sécuriser un réseau Linux 166 Principe duNATPrincipe statique Figure 8–8 193.48.97.71 192.168.155.1 interne interne 193.48.97.72 NATLe statique consiste àeffectuer –ouNAT statique –unpour Source NAT emt: permet qu’iln’y d’intérêt il premièreplus à a paraît vue.Eneffet, Cemécanisme dans le réseau, l’adresse IP externe IP externe leréseau,l’adresse dans externe externe ce dernier remplace l’adresse IP interne IP interne l’adresse remplace ce dernier 8-8,lorsqu’u Comme lemontre la figure réseau, ilfautposséderuneadre source. Ainsi, l’adresse pour unde • d’avoir une structure de réseau logi d’avoir • ; ayant uneadresse aux machinesinternes non routable desortir • • de conserver desinform la traçabilité de conserver •

atpudarse P; IP sant peud’adresses ment auxsolutions de NAT dynamique.

Psrc s IP src IP 192.168.155.1 193.48.97.71 216.239.55.100 216.239.55.100

et ainsi desuite.Réciproquement,et lorsqu’un rentre paquet

Pd t ds IP dst IP . Delamêmefaçon, . PO ER WE www.google.com 216.239.55.100 FAULT 216.239.55.100 216.239.55.100 DA TA ALA RM TCP TCP 192.168.155.1 s Prual vi ala 8-2). (voirtableau routable IP sse pour chaque adresse IP interne denotre interne IP pour chaque adresse 193.48.97.71 message message ROUTEUR NAT 192.168.155.1 sur les paquets un les paquets sur queavec plusieurssegments enutili- 193.48.97.71 n paquet sort et traverse le routeur,le ettraverse sort n paquet 192.168.155.1 ations de journalisation, contraire- 192.168.155.2 ettaut narseIP enadresse esttraduite © Groupe Eyrolles, 2005 192.168.155.3 : 193.48.97.73 192.168.155.2 : 193.48.97.72 192.168.155.1 : 193.48.97.71 NAT STATIQUE TCP TCP pruearseIP paruneadresse e substitution un sera en traduit sera message message © Groupe Eyrolles, 2005 Eyrolles, © Groupe danslatableSNAT. ontuneentrée machines réelles IP, seules les car n’yil mais à Internet, a pas degaspillaged’adresses fautquandmêmeuneadresseIl réelle 8-3). (voir tableau nonroutables àchaquezone Cd’adresses un classe etd’affecter de zones, desegmente permet duction d’adresses la tra- C, de classe réseau adresses d’un Avec32 de portion seulementune NAT statique etsegmentation 9.6.5./4Pouto 193.48.97.75 193.48.97.76 Invités 193.48.97.72 193.48.97.73 193.48.97.74 Production 192.168.152.0/24 Administration 192.168.154.0/24 DMZ 192.168.155.0/24 192.168.153.0/24 InterneRéseau

193.48.97.71 192.168.155.1

IP src IP src IP

216.239.55.100 216.239.55.100 Tableau 8–3

IP dst IP dst IP Nom PO ER WE www.google.com PO ER WE 216.239.55.100 FA LT UL 216.239.55.100 216.239.55.100 FA LT UL NAT statique, du réseau segmentation DA TA DA TA ALAR M ALAR M TCP TCP 192.168.155.1 pourchaquemachinequiveutaccéder message message Proxy arppour 193.48.97.72? Arp : whohas ROUTEUR NAT 193.48.97.XX r unréseauennombre important ROUTEUR N-1 192.168.155.1 193.48.97.70 193.48.97.71 193.48.97.81 Adresses externes 193.48.97.78 193.48.97.79 193.48.97.80 193.48.97.71 192.168.155.3 : 193.48.97.73 192.168.155.2 : 193.48.97.72 192.168.155.1 : 193.48.97.71 NAT STATIQUE TCP TCP message message de Le routeur en charge du adresse réelle qu’il adresse réelle concernantn’importequelle aux requêtesARP 8-9.Lerouteur répond on le voit sur lafigure NAT ARP et proxy statique Figure 8–9 proxy P LUS

LOIN ARPpourlesadressesréelles, comme

NAT statiqueetproxy ARP nate . NAT statique a un rôle 167

8 – Topologie, segmentation et DMZ Les Cahiers de l’Admin – Sécuriser un réseau Linux 9.6.5. 193.48.97.70 193.48.97.70 193.48.97.70 192.168.155.4 193.48.97.70 192.168.155.3 192.168.155.2 192.168.155.1 Adresse interne 168 Tableau 8–4 NAT dynamique Adresse externe NAT dynamique Figure 8–10 agit donc également d’un mécanisme de mécanisme source.s’agitdonc égalementd’un mique Il substitue l’adresse Comme duNAT danslecas statique, le routeur qui effectueduNAT dyna- du routeur NAT utilisent l’adresse sortir.pour 192.168.X.Y adresse externe plement l’unique durouteurlement quelestletravail lorsqu’un sort paquet masquer onconsidèrel’IP de Si lecas Traduction de ports NAT Source IP poursortir IP externe unique adresse 8-4),toutes (voirtableau À l’extrême routables. IP adresses de notre donc réseau,ilsuffira deposséderM internes IP adresses source (M

masquerading

Psrc s IP src IP . . Enrevanche, lorsqu’un paquet re 216.239.55.100 216.239.55.100

(acrd IP)puisquetouteslesmachinesduréseauprivé (mascarade

Pd t ds IP dst IP PO ER WE www.google.com 216.239.55.100 FAULT 216.239.55.100 216.239.55.100 DA TA ALA RM TCP TCP 193.48.97.70 193.48.97.70 192.168.155.1 ading (figure 8-10), on comprend 8-10), faci- ading (figure message message ROUTEUR NAT 192.168.155.1 . Cette configuration est appelée les adresses internes utilisentune adressesles internes 193.48.97.70 vient, comment savoir s’ilest savoir vient, comment à l’adresse sourcedu paquet, àl’adresse © Groupe Eyrolles, 2005 192.168.155.3 : 193.48.97.70 192.168.155.2 : 193.48.97.70 192.168.155.1 : 193.48.97.70 NAT DYNAMIQUE TCP TCP : ilsubstitue sim- message message © Groupe Eyrolles, 2005 Eyrolles, © Groupe : plusieurs dupaquet routeur opérationsaumoment effectue delasortie Le 8-11. par lafigure ou PAT,port Port de l’anglais Address Translation. estdécrit Ce mécanisme nance del’extérieur, lerouteur implém Pour à déterminer adressequelle inte Ausu momentoù unpaquetrevient, • IP et le port d’origine met Il à jour la table SNAT qui contient l’adresse • lrmlc epr ore:initialement remplace Il source leport • lrmlc ’des ore:initialement remplace source l’adresse Il • 192.168.155.10 193.48.97.70

serveur externe externe serveur source modifié. pour chaqueport notre exemple, le paquet à destination du port notrepaquet àdestination duport exemple,le Dans est destinéle paquet. interne machine à quelle pour déterminer machine machine 193.48.97.70

Psrc s IP src IP 192.168.155.10

216.239.55.100 216.239.55.100

Pd t ds IP dst IP 216.239.55.100 PO www.google.com ER WE 216.239.55.100 FAULT 216.239.55.100 Ps=61035 216.239.55.100 DA TA Ps=1035, ALA RM , port , port Pd=80 Pd=80 193.48.97.70 192.168.155.10 1035 , , le routeur utilisecettetableSNAT message message rne est destiné un paquet en prove-en est destinéunpaquet rne ente un mécanisme de traduction de detraduction ente unmécanisme ROUTEUR NAT 192.168.155.10 . r un port donné, en provenancer unport du 193.48.97.70 1035 192.168.155.10 , il devient , ildevient 61035 Pd=1035 Pd=61035 Ps=80 Ps=80 IP:port IP:port IP:port 9.6.5.:09193.48.97.70:61029 … 192.168.155.2:1029 192.168.155.10:1035 193.48.97.70:61035 SNAT Table est donc destiné à la donc destinéà est 61035 , elle devient , elle message message . PAT ( PAT NAT et dynamique Figure 8–11 Port Address Translation Address Port ) 169

8 – Topologie, segmentation et DMZ Les Cahiers de l’Admin – Sécuriser un réseau Linux l’utilisationchamp du implémenter un mécani routeursdoivent donc ;les numéro deport coles tels que ICMP, GRE, IGRP n’offrent pas de ports qui existent pour TCP et UDP. Des proto- La traduction d’adresses utilise les numéros de pour les pour implémenter un proxy.implémenter un derrière unactifs NAT clients FTP consiste à Un autremoyen pour prendre encharge les un client FTP actif qui soitFTP actifquiun client En règlegénérale, il n’est pas trivial d’avoir P mis en œuvre dans le casd’unserveur mis enœuvredans modulenement dece s’apparentecelui à fique qui réalise cette fonction. Le fonction- IPtables fournit quant àlui un module spéci- destination. mentation spécifique,redirigéevers sa être port 20 du client ne pourral’ouverture d’une connexion DATA pas, sur le sauf implé- 170 IÈGE tsi ’ a enmr epr ? et s’iln’yapasdenuméro deport A

LLER NAT actif et FTP nater

PLUS iee lc ’nsrer«nt » naté d’unserveur« Mise enplace

LOIN .

Traduction deport… dniiainIP identification sme spécifique, comme naté Figure 8–12 ! Eneffet, naté . , 9.89.08 192.168.153.10:8080 … 193.48.97.70:80 DNAT Table Ppr IP:port IP:port Ainsi, lorsqu’il reçoit un paquet à destinationde Ainsi, lorsqu’il reçoitunpaquet port du port estindiqué dans latable DNATIl que 8-12. figure la sur décrit table La DNAT (DestinationNAT) a ? externe surl’adresse rediriger unerequêteinterne quiarrive NATdu réseau serveur quel sait-ilvers l’extérieur, comment lerouteur sitouteslesmachinesutil En effet, NATun serveur dynamique. L’objectif estdevoir decettepartie Mise enplace d’unserveur fetelsoéain uvne : effectue lesopérationssuivantes • Il remplace Il de leport destination, • • Il remplace Il l’adressededestination, • ment spécifié dans la table DNAT. table ment spécifiédansla 192.168.153.10 8080 134.158.47.1 134.158.47.1 80 delamachine

sur l’interface externe durouteur externe doiventêtreversle redirigées surl’interface

Psrc s IP src IP 192.168.153.10

193.48.97.70 , qui est spécifiée dans la tableDNAT., quidans estspécifiée

Pd t ds IP dst IP 192.168.153.10 en écoutesur8080 POWE www.tamalo.com R FAU 192.168.153.10 192.168.153.10 LT 193.48.97.70 DAT Pd=8080 Ps=1029, A Ps=1029 ALARM Pd=80 193.48.97.70 isent une adresse unique pouraccéderà comment il estpossibled’implémenter 134.158.47.1 Client http 80 les requêtes à destination qui arrivent ssure cettefonction, commecela est 193.48.97.70 , parcelui du serveur, , qui est notre serveur Web. , quiestnotre serveur message message ROUTEUR NAT 134.158.47.1 134.158.47.1 193.48.97.70:80 © Groupe Eyrolles, 2005 , par celle duserveur,, parcelle Pd=1029 Pd=1029 Ps=8080 Ps=80 8080 le routeur message message , égale- sécurisation du réseau de Tamalo.com. duréseaude sécurisation Parmi cestrois fonctionnalités, lesdeux alors qu’il fautun NAT Le que des’appliquer a l’avantage du réseauinterne. lavisibilité limiter pour Proxyet NAT complémentaires. donc sont ilfautmettre accessibles, enœuvre unproxy.externes FTP en mode actif, la fonction de cach Pourtant, fo pour disposerde certaines etprotéger masquerleréseauinterne lespostesdetravail. pour la technique descas, du NATplupart es © Groupe Eyrolles, 2005 Eyrolles, © Groupe chaîne et La derègles. tour unesérie Chaque table contient nombre uncertain de qui contiennentàleur chaînes cette fonction. grammer À chacunedestrois fonctionsd’IPtables Tables etchaînes : fonctionnalités de troistypes IPtables fournit Fonctionnalités d’IPtables 2.2du noyau deLinux. quiétaitdisponible aveclesversions d’IPchains mandes nécessaires à la programmation desfiltres. IPtablesestlesuccesseur lescom- proprementIPtables fournit tandis que effectue lefiltrage dit, réseau dunoyauNetfiltercouches Il implémenté auniveaudes Linux. est 2.4. dunoyau sous Linuxàpartir IPtables etNetfilter lesfo fournissent Netfilter/IPtables Le Proxy versus NAT marquage etmanipulation depaquets. • IP, NAT, Source d’adresses traduction : NAT Destination Masquerade, • •MANGLE: ; d’adresses traduction lesrèglesde pour : NAT • ; :pourlesrèglesdefiltrage FILTER • pour la manipulation ( statique : filtrage • jour d’effectuer du NATjour d’effectuer statique NAT,ce redirection pasà IPtables nepermet que (il fautnoter deport proxy et latraduction sont d’adresses proxy stateless différent pour chaque type d’application. Dansla d’application. type pour chaque différent ) ou dynamique ( ) oudynamique npu n–d ao ipe ; –defaçonsimple) –un pourun les règlesqu’elle contients’appliquentà et le marquagedepaquets. et nctionnalités telles que l’utilisation de quel’utilisation nctionnalités telles nctionnalités de filtrage disponibles de filtrage nctionnalités t donc plus rapide à mettre œuvre àmettre en rapide plus t donc premières ontété exploitées pourla e, la possibilité defiltrer lesserveurs correspond une table qui sert àpro- correspond unetablequisert lle que soit l’application considérée, que soitl’application lle deux mécanismes complémentaires deux mécanismes stateful ) et connection tracking ; B B les distributions de Linux. actuel. IPtablesestdisponibleen standarddans Rusty Russelestl’auteuretl’animateur duprojet http://www.iptables.org http://www.netfilter.org O UTILS

Le projet Netf ilter/IPtables 171

8 – Topologie, segmentation et DMZ Les Cahiers de l’Admin – Sécuriser un réseau Linux 172 peuvent s’appliquer leschaînes s’appliquer peuvent IPtables : les cinq points où points cinq :les IPtables Figure 8–13 Les chaînespeuvents’appliqueràcinq Les cepté…). le etdéterminent 8-13) paquet (figure (avantleroutage,un momentprécis OUTPUT POSTROUTING PREROUTING NAT • • • • • chaînes appliquéessur locale. concernerontà dest paslespaquets tination dela machine locale. relayé sur une autre interface. Les chaînes appliquéessur relayé Les sur uneautre interface. paquet est déjà routé. Le cas d’utilisation typique estleSNAT. typique d’utilisation cas paquet estdéjàrouté. Le alors que le desortie, sur l’interface lepaquet avant d’envoyer juste OUTPUT INPUT FORWARD POSTROUTING PREROUTING sation typique est leDNAT. sation typique prendre dupaquetpour IP la l’adresse provenance de la machine locale. Tableau 8–5 PREROUTING : leschaînesappliquéessur : : les chaînesappliquées sur : lepaquetn’est pas destiné àlamachine locale, mais il doit être : delamachine. le Les paquet se sur une interface présente : leschaînes appliquées sur IPtables : points d’application des chaînes en fonction des des tables enfonction deschaînes d’application :points IPtables INPUT Paquets àdestinationouen PREROUTING FORWARD OUTPUT INPUT MANGLE POSTROUTING PREROUTING MACHINE LOCALE provenance dela Paquets routés FORWARD INPUT mmnsdn aved aut: moments danslaviedupaquet aprèsleroutage…) duparcours du OUTPUT seront exécutéesavantd’analyser futur du paquet (transmis, inter- ination ou venant de la machine la de ination ouvenant décision de routage. Le cas d’utili- cas décision deroutage.Le concerneront tout paquet à des- concerneront toutpaquet OUTPUT POSTROUTING concerneront toutpaquet en © Groupe Eyrolles, 2005 OUTPUT FILTER INPUT FORWARD POSTROUTING seront exécutées FORWARD ne dans le répertoire lerépertoire dans © Groupe Eyrolles, 2005 Eyrolles, © Groupe unmessageausystème d’envoyer IPtables permet des filtresplace. misen l’effet pour étudier mise aupointdesrèglesdefiltrage utile danslaphasede très sera pare-feu. Elle La journalisation estunefonction d’un importante Journalisation de alors qualifié pare-feu est en fonctionducontenudecettetablequiconstitueétat. Le son ont lepare-feu.nexionsqui traversé Ce suivideconnexion estun procédé Le Suivi deconnexion liste desactions possibles IPtables. La unerègle écrire pour générale la syntaxe 8–14 donne La figure règles des Écriture un paquet coïncide avec une règle de type un paquet detype coïncideavecunerègle tionnée avanttouteslesrègles capables jREDIRECT –j MASQUERADE –j DNAT –j SNAT –j MIRROR –j TOS –j MARK –j LOG –j QUEUE –j REJECT –j DROP –j ACCEPT –j iptables -tfilter

Table NAT, mangle ou filter state-full /proc/net/ip_conntrack Redirection d’un port vers unautre. vers d’unport Redirection L’adresse translatée. est dupaquet source L’adresse du destination L’adresse translatée. est dupaquet source l’expéditeur. à lepaquet Renvoie dupaquet. » Type OfService « Modifie le Le paquetestmarqué. ». syslog « système au envoyé est Le paquet uneapplication. envoyéà est Le paquet Le paquet du est rejeté,l’expéditeurdel’indisponibilité averti service. rejeté. est Le paquet Le paquetestaccepté. -Ainput etidqé idsos: est indiquéeci-dessous

(avec états). Sous Linux, cette Sous table est stockée (avecétats). Chaîne prerouting, postrouting, inpu t, ou tput, forward -p TCP -s192.168.153.1 qui maintientàjourunetabledescon- paquet esttranslatée. de stopper le parcours d’un paquet. dernier prend la décisiondefiltrage . LOG

. Cetterègledoitêtre posi- Sélection -p protocol

syslog -s source deLinuxquand -jdrop Action -j drop le paquet est rejeté IPtables : écriture des règles des :écriture IPtables Figure 8–14 173

8 – Topologie, segmentation et DMZ Les Cahiers de l’Admin – Sécuriser un réseau Linux 174 La commande suivanteestutilisée pour La à l’option à l’option paquet destinéàlama un degré de priorité un degrédepriorité Tousavec lespaquetssortiront sortie. de del’interface est toujourslamême, celle detranslation », l’adresse mais dans ce cas source NAT de« uneforme C’est Masquerade 193.47.97.70 193.48.97.70 commandeci-dessousestutiliséepo La Source NAT –NAT Traduction d’adresses règle detype Lorsqu’une quées à tout paquet relayéà toutpaquet quées de site.Les d’entrée en routeur filtrant IPtables peutêtre utilisé efficaceme Filtrage : adresse depaquets destinationdes commandeci-dessousremplacel’ La Destination NAT spécifier le niveau avec l’option l’option avec n’est leniveau de spécifier estpossible Il pasarrêté. fichiers de trace du defichiers trace Pour les paquets concernés parcetterègl level pals– a APEOTN ptp– 9.89.0\ 193.48.97.80 192.168.154. –d tcp –p ––to–destination DNAT PREROUTING –j –A nat –t iptables MASQUERADE –j eth0 –o POSTROUTING –I nat –t iptables \ SNAT –j eth0 –o 193.47.97.70-193.47.97.73 POSTROUTING ––to –A nat –t iptables –– SNAT –j eth0 –o 193.48.97.70 POSTROUTING to –A nat –t iptables –dport 80 –j LOG --log-levelinfo info --log-prefix WEB --log-prefix info --log-levelinfo LOG –j 80 –dport \ –d192.168.155.2 –s192.168.155.1 –I –p tcp iptables ( info, notice, warning notice, info, ––log–prefix , : 193.47.97.71 syslog INFO chine locale (chaîne chine locale . . LOG parla (chaîne machine . Ils seront préfixés par le mot-clé seront préfixésparlemot-clé . Ils est vérifiée, le processus de parcours des règles leprocessusdeparcoursdes estvérifiée, , l’adresse IP de l’interface IPdel’interface l’adresse 193.47.97.72 …) et d’ajouter unpréfixeaumessagegrâce …) etd’ajouter nt pourconfigurer unemachineLinux ur remplacer lesadressessources par règles de filtrage devront êtreappli- devront defiltrage règles remplacer lesadresses sources par e, un message sera inscrit e,dans unmessageserainscrit les INPUT , 193.47.97.73 ). FORWARD © Groupe Eyrolles, 2005 eth0 ), ainsi qu’à), ainsi tout : . WEB etauront --log– par leschaînes © Groupe Eyrolles, 2005 Eyrolles, © Groupe A Firewall mées respectivement Tamalo.com. Pour chaînesnom- nous avons créé denouvelles chacun d’eux, laconfig ci-après Nous décrivons Configuration IPtablesde iptables –A fwA –-in-interface eth0 –-source 224.0.0.0/4 –j DROP 224.0.0.0/4 eth0–-source fwA –-in-interface iptables –A (multicast). D classe de adresse une est source l’adresse dont paquets les # Refuse –jDROP 193.48.97.64 eth0–-destination fwA –-in-interface iptables –A –jDROP 193.48.97.95 eth0–-destination fwA –-in-interface iptables –A Tamalo.com. de réseau du l’adresse # ou broadcast de l’adresse est destination de l’adresse dont paquets les # Refuse –jDROP 0.0.0.0 eth0–-destination fwA –-in-interface iptables –A broadcast. de adresse une est destination de l’adresse dont paquets les # Refuse –jDROP 255.255.255.255 eth0–-source fwA –-in-interface iptables –A broadcast. de adresse une est source l’adresse dont paquets les # Refuse –jDROP 127.0.0.0/8 eth0–-source fwA –-in-interface iptables –A loopback. de réseau le dans définie est # source l’adresse lesquels pour l’extérieur de provenance en paquets les # Refuse –jDROP 192.168.0.0/16 eth0–-source fwA –-in-interface iptables –A C. classe de privés réseaux les dans définie est # source l’adresse lesquels pour l’extérieur de provenance en paquets les # Refuse –jDROP 172.16.0.0/12 eth0–-source fwA –-in-interface iptables –A B. classe de privés réseaux les dans définie est # source l’adresse lesquels pour l’extérieur de provenance en paquets les # Refuse –jDROP 10.0.0.0/8 eth0–-source fwA –-in-interface iptables –A A. classe de privés réseaux les dans définie est # source l’adresse lesquels pour l’extérieur de provenance en paquets les # Refuse –jDROP 193.48.97.64/27 eth0–-source fwA --in-interface iptables –A spoofing). IP contre (lutte réseau notre dans définie est # source l’adresse lesquels pour l’extérieur de provenance en paquets les # Refuse fwA iptables -N fwA chaîne nouvelle une # Crée fwA iptables -X déjà. existe elle si fwA chaîne la # Efface iptables -F filtres les # Flush gw193.48.97.92 192.168.154.0 route addnet du routeur. niveau qu’au delaDMZ plutôt machine de chaque au niveau route cette définir mieux vaut Il internes. serveurs des réseau le vers # Route leréseaud’interconnexion) (adressesur gwX.Y.Z.T route adddefault externe l'interface vers défaut par route la de place en # Mise echo 1>/proc/sys/net/ipv4/ip_forward routage du # Activation up 193.48.97.95 broadcast netmask255.255.255.224 193.48.97.91 ifconfig eth1 interne l'interface de # Configuration INPUT et fwA FORWARD et fwB . La chaîne . La . s deuxpare-feu Linux uration des uration pare-feu A et B dusite fwA (ou fwB ) estappelée à la fois 175

8 – Topologie, segmentation et DMZ Les Cahiers de l’Admin – Sécuriser un réseau Linux iealB Firewall 176 iptables -t nat -F iptables -t remplie déjà est elle si NAT table la # Flush gw193.48.97.91 route adddefault A firewall le vers défaut par route la de place en # Mise echo 1>/proc/sys/net/ipv4/ip_forward routage du # Activation up 192.168.154.255 broadcast netmask255.255.255.0 192.168.154.254 ifconfig eth2 internes services aux connectée eth2 l'interface de # Configuration up 192.168.155.255 broadcast netmask255.255.255.0 192.168.155.254 ifconfig eth1 clients postes aux connectée eth1 l'interface de # Configuration up 193.48.97.95 broadcast netmask255.255.255.224 193.48.97.92 ifconfig eth0 DMZ la à connectée eth0 l'interface de # Configuration –L # iptables FORWARD -jfwA iptables -A INPUT -jfwA iptables -A FORWARD et INPUT chaînes des partir à fwA chaîne la # Appelle fwA iptables -L fwA chaîne la de filtrage de règles les # Affiche fwA -jREJECT iptables -A précédemment. accepté été a qui ce sauf…, # rejeter tout à consiste qui défaut par politique la donne elle dernière, la étant règle # Cette unreachable port ICMP, erreur une avec connexions autres les # Rejette ACCEPT fwA -picmp-j iptables -A icmp les # Accepte -j ACCEPT --dport53 -pTCP 193.48.97.66 NEW--destination fwA -mstate--state iptables -A -j ACCEPT --dport53 -pTCP 193.48.97.65 NEW-–destination fwA -mstate--state iptables -A -j ACCEPT --dport53 -pUDP 193.48.97.66 NEW--destination fwA -mstate--state iptables -A -j ACCEPT --dport53 -pUDP 193.48.97.65 NEW-–destination fwA -mstate--state iptables -A 53 port DNS serveurs les vers connexion de ouvertures les # Accepte 21. # port le sur initiale connexion la à related, reliée, que parce acceptée sera 65000 sur # passif ftp connexion une IPtables, dans implémentée tracking connection de technique à la # Grâce -j ACCEPT --dport21 -pTCP 193.48.97.69 NEW--destination fwA -mstate--state iptables -A 21 port FTP serveur le vers connexion de ouvertures les # Accepte -j ACCEPT --dport25 -pTCP 193.48.97.68 NEW--destination fwA -mstate--state iptables -A DMZ en situé 25 port SMTP serveur le vers connexion de ouvertures les # Accepte -j ACCEPT --dport80 -pTCP 193.48.97.67 NEW--destination fwA -mstate--state iptables -A DMZ en situé 80 port Web serveur le vers connexion de ouvertures les # Accepte -jACCEPT 193.48.97.64/27 NEW--source fwA -mstate--state iptables -A vers l’extérieur laDMZ 193.48.97.64/27 depuis deconnexion ouvertures les # Accepte ACCEPT -j ESTABLISHED,RELATED fwA -mstate--state iptables -A etRELATED ESTABLISHED connexions les # Accepte –jACCEPT UDP –p 224.0.0.0/4 eth0–-destination fwA –-in-interface iptables –A –jDROP !UDP –p 224.0.0.0/4 eth0–-destination fwA –-in-interface iptables –A UDP. pas n’est protocole le si multicast paquets les # Refuse © Groupe Eyrolles, 2005 © Groupe Eyrolles, 2005 Eyrolles, © Groupe Configuration IPtablesde iptables -A fwB -m state --state NEW –-source 192.168.155.0/24 --destination 0/0 -p TCP-jACCEPT 0/0-p --destination 192.168.155.0/24 NEW–-source fwB -mstate--state iptables -A ACCEPT 0/0-j --destination 192.168.154.0/24 NEW–-source fwB -mstate--state iptables -A iptables -A INPUT -m state --state NEW -j REJECT --stateNEW-j INPUT -mstate iptables -A del'extérieur connexion provenant demandesde # Rejetteles -jACCEPT echo-request icmp--icmp-type INPUT --protocol iptables -A echorequest" messages"ICMP réceptionde # Autorisela -jACCEPT --stateRELATED,ESTABLISHED INPUT -mstate iptables -A localement connexionsinitiées réceptionde # Autorisela -jACCEPT --stateNEW,RELATED,ESTABLISHED OUTPUT -mstate iptables -A dumonde verslereste machinelocale connexion dela de # Autorisel'ouverture ACCEPT 127.0.0.1-j --destination 127.0.0.1 INPUT -ilo--source iptables -A loopback surl'interface lestrafics # Autorisetous FORWARD DROP iptables -P OUTPUT DROP iptables -P INPUT DROP iptables -P trafic lestypesde # Rejettetous iptables --flush filtresactifs # Supprimeles FORWARD -jfwB iptables -A INPUT -jfwB iptables -A FORWARD et INPUT chaînes des partir à fwB chaîne la # Appelle fwB iptables -L filtrage de règles les # Affiche fwB -jREJECT iptables -A unreachable port ICMP, erreur une avec connexions autres les # Rejette ACCEPT fwB -picmp-j iptables -A icmp les # Accepte réseaux les pour machines les toutes vers connexion de ouvertures les # Accepte iptables -AfwB-m state--state NEW–-source193.48.97.68 --destination 192.168.154.140 -p TCP--dport 25 -jACCEPT SMTP port le sur imap vers smtp1 de connexion de ouvertures les # Accepte ACCEPT -j ESTABLISHED,RELATED fwB -mstate--state iptables -A etRELATED ESTABLISHED connexions les # Accepte fwB iptables -N fwB chaîne nouvelle une # Cree fwB iptables -X déjà existe elle si fwB chaîne la # Efface iptables -F filtres les # Flush 193.48.97.91-193.48.97.93 SNAT--to-source -ieth1-j nat -APOSTROUTING iptables -t 193.48.97.91-92-93 : réelles adresses 3 avec sources adresses les # NATe chaque poste de travail internes 177

8 – Topologie, segmentation et DMZ Les Cahiers de l’Admin – Sécuriser un réseau Linux – nouvelle définition distingue trois probabilités champ DiffServ, DifferentiatedServices. Cette L’octetTOS estdésormaisremplacéparle classes deservice. soient écartés( 178 low À RETENIR , medium TOS remplacé DiffServ par drop , high ) pour chacune desquatre chacune ) pour –les paquets que iptables -A INPUT -m state --state NEW -j REJECT --stateNEW INPUT-mstate iptables -A del'extérieur connexionprovenant demandesde # Rejetteles -jACCEPT echo-request icmp--icmp-type INPUT--protocol iptables -A echorequest" messages"ICMP la réceptionde # Autorise 25-jACCEPT -p TCP--dport --stateNEW INPUT-mstate iptables -A enTCP leportSMTP connexionssur la réceptionde # Autorise -jACCEPT --stateRELATED,ESTABLISHED INPUT-mstate iptables -A localement connexionsinitiées la réceptionde # Autorise -jACCEPT --stateNEW,RELATED,ESTABLISHED OUTPUT-mstate iptables -A monde reste du le vers locale machine de la de connexion l'ouverture # Autorise -j ACCEPT 127.0.0.1 --destination 127.0.0.1 INPUT-ilo--source iptables -A loopback surl'interface tous lestrafics # Autorise FORWARDDROP iptables -P OUTPUTDROP iptables -P INPUTDROP iptables -P de trafic lestypes # Rejettetous iptables --flush les filtresactifs # Supprime simple de celui-ci en utilisant l’option l’option enutilisant decelui-ci simple correspond altérati àune véritable TTL table MANGLEla par TOS deschamps modification ou la Notez que valeurdonnée. ou décrémenterd’une incrémenter mais pas en dehors de celle-ci. mais pasendehors decelle-ci. exploitable seulementpendant ladurée dunoyau dupare-f tables des niveau options options toLive)peutêtre modi (Time TTL Le de service. type enréserv faire delaqualitéservice de la desmachine. Cette paquetssortant possibilité peut être utilisée pour TOScomment modifierlechamp (Type décrit 8-15 Service) Of figure La Modification deschampsTOS, TTL dans unexemple ci-après. cela estdécrit ou pourlemarquagedupaquetcomme champs TOSchanger les et TTL tableMANGLELa peut-êtrepour Elle utilisée àmodifierdespaquets. sert Marquage depaquets avec IPtables sontsusceptibles et lenuméro deport proposantunse desmachines l’ensemble pour le configurationLa d’IPtables Configuration IPtables duserveur SMTP --ttl-set , --ttl-inc ou --ttl-dec eu Linux. Le marquage simple est donc marquagesimpleest eu Linux.Le de varier suivant le service concerné. leservice suivant devarier ant des bandes passantes différentesant desbandespassantes par serveur SMTPesttransposableà serveur --set-mark on du paquet tandis que le marquageque le ontandis dupaquet rvice réseau. Seuls leprotocole réseau Seuls réseau. rvice de viedupaquetdanslamachine, fié en utilisant la cible TTL etles fié enutilisantlacibleTTL pourrespectivement initialiser, s’effectue uniquementau s’effectue © Groupe Eyrolles, 2005 © Groupe Eyrolles, 2005 Eyrolles, © Groupe marquage effectuéavecl’option Le Marquage simpledupaquet signaler la priorité du paquet ; il est lu par ;ilestlu par dupaquet signaler lapriorité vice (QOS).le marqDans cecas, demarq de ce type classique utilisation décision quedoitprendre du paquet.Une le pare-feu danslasuitedevie à «0» ou«1». mais nible au stadedu POSTROUTING, redirection NAT,fonction MAC, nonpasen del’adresse qui n’estdispo- pas dans contraire.cas » sera le al Il 0 « paquets contenusdansle solution consiste à utiliser la adresse MAC ou versunéc estautorisée sileur - lespaquetsverslasortie DNAT enPOSTROUTING effectuée substitutionà une detype - grâce pouvoir diriger On pourtant voudrait qui en-tête Ethernet deson débarrassé en FORWARD.et paquet estdanslerouteur,dès quele En effet, il est entrela trame dans lerouteur,est-à-direen PREROUTING,INPUT en c’ L’adresse MAC n’est trame delasource d’une disponible qu’au momentoù basésurécran captif lesadressesréaliser un MAC. L’exemple commentut qui suit décrit passante enfonction desapriorité. Figure 8–15 Modification du champ TOS duchamp ethereal avec Modification etvisualisation s trames dont les adressestrames dont s MAC et autorisées sont al AGEpu aqe »les 1 table MANGLE pour marquer « --set-mark ors possible de prendre la décision de uage est effectué avecIPtablespour est effectué uage uage a pour objectif la qualité deser- iliser le marquagedes paquetspour iliser ran captif dans le cas contraire. Une contraire. lecas dans captif ran n’a àcestade. designification plus IProute2 enfonction dumarquageeffectué pourra être utilisépourtoute pourra qui lui affecte qui une bande lui affecte tence du pare-feu à la commande des paquetsentrants pourmasquerl’exis- leTTL En revanche, ilpeutêtreenvisagéd’incrémenter 0. sera à paquets serontécartés ( Le TTLétant décrémentéà chaque routeur, ces paquets puissent tourner enrond dansInternet. deroutage, d’erreur cas d’éviter qu’en des bies. En effet, le rôledu TTL (Time toLive) est zom- paquets vieàdes deredonner risque au réseau paquet sort devotre qui TTL d’un champ Attention, n’augmentez jamais la valeur du B traceroute http://www.linuxexposed.com/Articles/ bandwidth-management.html bandwidth-management.html Networking/Traffic-shaping-and- DANGER DANGER IncrémentationduTTL . drop ) dès queleurTTL ) 179

8 – Topologie, segmentation et DMZ Les Cahiers de l’Admin – Sécuriser un réseau Linux 180 du pare-feu, ilsuffitdel’enleve de panne oudedysfonctionnement cas facilitée.Deplus,en est grandement sur lerouteur nisurlespostes et serv Un pare-feu transparent s’insère dans Pare-feu transparent, modebridge IPtables decommandes Script Dans notre exemple, lerouteur acommeadresse Adressage IP externe. et réseaux interne voitains 8-16.Il indiqué sur la figure réseau commeinséré entre initialetlerestedu pare-feu est le routeur Le Positionnement dupare-feu transparent adresses duréseau, les quatre (obligatoire donc réserver SNAT --to-source $NAT --to-source SNAT -j $CONF -s 0x1 --mark mark -m POSTROUTING -A nat -t $iptables sortie la vers natés sont 1) (marqués autorisés paquets les # 192.168.2.24:80 --to DNAT -j $CONF -s tcp -p 0x0 --mark mark -m PREROUTING -A nat -t $iptables captif l'écran vers dirigés sont 0) (marqués autorisés non TCP paquets les # done) 0x1; --set-mark MARK -j $CONF MAC; do read ( while \ | -u sort | /etc/MAC-autorise "#" -v grep commentaire un # indique autorisées machines les contient # /etc/MAC-autorise 0x0 --set-mark MARK -j PREROUTING -A mangle -t $iptables autorisés non paquets les 0 autorisés, paquets les 1 Marque # CONF=192.168.156.0/24 MAC adresses par filtrage le s’applique lequel sur réseau du adresse CONF # NAT=193.48.97.91 sortie de NAT routeur du l’adresse est NAT # –F mangle -t $iptables -F nat -t $iptables ########################### NAT ################### iptables="/sbin/iptables" #!/bin/sh $iptables -t mangle -A PREROUTING -m mac --mac-source $MAC -s $MAC --mac-source mac -m PREROUTING -A mangle -t $iptables $MAC; echo 193.48.97.0 r pour revenir à l’état initial. r pourrevenir à l’état à ment une puissancedeux)premièresment de 193.48.97.3 usisals! Ainsi, sa miseenplace eurs installés i passer l’ensemble entredu trafic les i passerl’ensemble un réseau existant sans modification existant sans un réseau , pour la zone d’intercon- pour lazone , 193.48.97.1 © Groupe Eyrolles, 2005 . Nous allons © Groupe Eyrolles, 2005 Eyrolles, © Groupe : technique duproxy ARP Le pare-feu s’insèreProxy ARP dans le réseau sans modification de celui-ci grâce àla DMZ. alorsunevéritable ;elleconstituera des serveurs nexion entre le routeur etlepare-feu.Notez contenir quecettezone pourra Figure 8–16 • • • Côté DMZ, lepare-feu est desmachinesdu proxy ARPpour l’ensemble • • Po MASK 255.255.255.0 193.48.97.3 193.48.97.2 193.48.97.1 193.48.97.0 réseau interne, soit DMZ. GW 193.48.97.1 ste detr IP193.48.97.5 FIREWALL TRANSPARENT Pare-feu transparent a pourra être utilisée pour un serveur qui serait placé qui dans la serait êtrepourra utilisée pour unserveur du pare-feu côtéDMZ. estl’adresse -durouteur inchangée – estl’adresse du réseau. estl’adresse v ail 193.48.97.4 MASK 255.255.255.0 GW 193.48.97.1 IP193.48.97.6 Router d'entrée à IP193.48.97.1 193.48.97.255 eth1 eth0 Proxy ARPpour193.48.97.4à.255 Proxy ARPpour193.48.97.1et.2 Internet MASK 255.255.255.252 MASK 255.255.255.0 IP193.48.97.4/24 IP193.48.97.2/0 MASK 255.255.255.0

GW 193.48.97.1 . IP193.48.97.7

ur Serve

ngée a inch

tion a r u Config

tion a r u Config 181

8 – Topologie, segmentation et DMZ Les Cahiers de l’Admin – Sécuriser un réseau Linux 182 l’adresse MACl’adresse routeur du Ainsi, chaquefoisqu’une demande,terne machinein parunerequête ARP, reste plusqu’à router entre letrafic lesréseaux Le pare-feu se trouve donc en position Man de in « the ; il Middle ne » lui pare-feu lui fournira l’adresse MAC l’adresse luifournira pare-feu desapropre interface demande, parunerequête ARP,resse MAC l’ad machineinterne, le d’une Configuration desinterfacesetmiseenplaceroutes Configuration enproxy ARPcotéinterne Configuration enproxy ARPcotéDMZ Configuration pratique dupare-feu transparent 193.48.97.0/24 d’appliquer des règles de filtrage entr desrèglesdefiltrage d’appliquer de sa propre interface propre interface de sa • Côté interne, le pare-feu est proxy ARP pour les quatrela lepare-feu lesadressesde Côtéinterne, estproxypour ARP • route add default gw 193.48.97.1 gw default add route 193.48.97.0 -net add route 193.48.97.3 broadcast 255.255.255.252 netmask 193.48.97.2 eth1 ifconfig 193.48.97.0 -net add route 193.48.97.255 broadcast 255.255.255.0 netmask 193.48.97.4 eth0 ifconfig pub 255.255.255.252 netmask eth1 193.48.97.4 -Ds eth1 -i -v arp pub 255.255.255.248 netmask eth1 193.48.97.8 -Ds eth1 -i -v arp pub 255.255.255.240 netmask eth1 193.48.97.16 -Ds eth1 -i -v arp pub 255.255.255.224 netmask eth1 193.48.97.32 -Ds eth1 -i -v arp pub 255.255.255.192 netmask eth1 193.48.97.64 -Ds eth1 -i -v arp pub 255.255.255.128 netmask eth1 193.48.97.128 -Ds eth1 -i -v arp pub eth0 193.48.97.2 -Ds eth0 -i -v arp pub eth0 193.48.97.1 -Ds eth0 -i -v arp DMZ, 193.48.97.0 pour rétablir la connectivité. Ce faisant, il sera possible eth0 à 193.48.97.3 193.48.97.1 . Réciproquement, chaque fois quelerouteur . Réciproquement,chaque e les machines internes etexternes. les machinesinternes e . , le pare-feu donne l’adresse MACpare-feu, le donne l’adresse © Groupe Eyrolles, 2005 193.48.97.0/30 eth1 . et En effet, dans l’hypothèse où lesite dansl’hypothèse En effet, denotre entrepri Wi-Fi de l’accès partir Le danger est plusn’importeque de quelsiteexterne. difficile n’al’extérieur. réseaudel’entreprise ainsi pasplusà àLe craindre du Wi-Fi contrer dans depuiscesegmentque filtrage de lesmêmesrègles sible d’appliquer le casoù lepirate serontisolant lesansfilda limités en rebondirait duréseauWi-Fi àpartir del’entreprise duréseau local d’attaque risques Les à toute impunité. pianoter uneentreprise,occupé à devant savoiture, dans installé duWi-Fi le pirate Encomparaison, informatique. enflagrant dé surpris d’être le risque © Groupe Eyrolles, 2005 Eyrolles, © Groupe des’introduire afin ments bâti- aux franchir lesmécanismes decontrôlepirate doit d’abord d’accès réseau. En effet, pourse connecter fr au pour l’accès posentle problème del’authentification réseauxWi-Fi Les Risque d’accès frauduleux au réseau Le réseau sans filSécurité duréseausansfil ou Wi-Fi, pour : » DMZ adresses « dela les d’abord traiter sontrègles les mêmes que sauf Les pour unpare-feuqu’il classique, faut Configuration IPtables sans prendre en compte plusieurs impératifs de sécurité. desécurité. sans prendre encompteplusieurs impératifs pour la mobilitédes personnelsdusite desnable parlasouplessequ’il nomades offre que aussibienpour l’accueil iptables -A FORWARD -j REJECT -j FORWARD -A iptables unreachable erreurICMPport avecune autresconnexions # Rejetteles ACCEPT -j ESTABLISHED,RELATED --state -mstate -A FORWARD iptables etRELATED ESTABLISHED retoursdeconnexions # Accepteles ACCEPT -j 193.48.97.0/24 -s NEW --state state -m FORWARD -A iptables 193.48.97.0/24 laproduction connexiondepuis ouverturesde # Accepteles REJECT -j 193.48.97.0/24 -s NEW --state state -m FORWARD -A iptables laDMZ193.48.97.0/30 connexiondepuis ouverturesde # Refuseles physiquement danslesloca Wireless Fidelity attaqué déposerait uneplainte, attaquédéposerait notre ns un segment à part. Il est alorspos- Il segment àpart. ns un lit, parexempleconnecté à uneprise auduleusement àunréseaufilaire, le . Il ne doit pourtant pas être nedoitdéployé pourtant . Il sur son ordinateur portable, agiten ordinateurportable, surson se pour s’attaquer à un site externe. s’attaquer àun se pour , est devenu incontour- devenu , est ux. Cefaisant,ilprend 183

8 – Topologie, segmentation et DMZ Les Cahiers de l’Admin – Sécuriser un réseau Linux s ipnbesrl ie: est disponible sur le site tible avec leserveurd’authentification RADIUS Unelibre FreeRADIUS implémentation compa- http://www.open.com.au/radiator/ nalités. stable et elleest dotée denombreusesfonction- d’authentification RADIUS, Cetteversion est commerciale compatible avecleserveur Source RADIATOR estuneimplémentation Open 184 RÉFÉRENCE RÉFÉRENCE RÉFÉRENCE FreeRADIUS RADIATOR http://www.freeradius.org seuls lespaquetsàdestination duserv 8-17,tant figure montreComme le la mutateuraccorder ounonl’accès. sansfil pour borne oula telque FreeRADveur d’authentification, authentificati mise en placed’une La le site le site se connecte Pourau réseau. machine qui Le serveur,Le filaire.un réseau à l’accès place pour peut êtreen mis au réseau. Ce protocole l’accès envued’autoriser phases d’authentification protocole 802.1Xaétédéfini parl’IEEELe prendre pour enchargeles Le protocole 802.1X les par prouver responsabilité se trouverait engagée Le client, ou :commutateursfil. sans oubornes (AP) auréseau cation paradressecation Mac) n’est vraimentsûre. notreà aucunedestechniques après, ci- 802.1X décrite Malheureusement, de l’authentification à l’exception protégerfil. contrese auréseausans est donc de unaccèsabusif impératif Il par le point d’accès. lepoint par vcueféuneifrer 0minutes. avec unefréquenceà inférieure 10 Une paradeàlafaiblessedesclésWEP consiste à utiliserdesclés dynamiques, remplacées Pourles communications, chiffrer ou ilfaut l’utilisation luipréférerSSH systématique de • Pour limiter l’accès frauduleux au réseau,bien queleWEP aitseslimites, ilest recom- • : communications Le chiffrement WEP estutilisé à la fois pour protéger l’accès au réseau et pour chiffrer les »à cartesetbornes basedeWEP. vieilles de lasécuritévue n’estpascompatible avecles« nique WPA,Access, Wireless Protected issue de performanteil faudra renouveler l’ensemble des bornesetdes sansfil.Uneconséquenceestque pour leremplacerpartechnique une plus Comme sonnom l’indique, cesystèmedechiffr intègrentLes systèmesun sansfilchiffrement appeléWEPEquivalent (Wired Privacy). Les limites duWEP VPN. minutes par un attaquant doté desbons outils. de 10 du moins pour lesmoins téméraires, puisqu’une cléWEP statique seracassée en moins place defaçonmettre en systém mandé dele http://www.open1x.org authenticator system logs supplicant que l’attaque vient de l’extérieur denotre réseau. vientdel’extérieur quel’attaque , estimplémentéparla couche TCP/IP dela . , 802.1X estimplémenté disposition aujourd’hui (WEP, identifi- un réseau sans fil mais également pour mais également fil sans un réseau on 802.1X nécessiteégalementunser- et ilnenous seraitpaspossiblede eur d’authentificati la norme 802.11i, prometteuse du point de point du prometteuse 802.11i, la norme ement est câblé dans lematériel des cartes atse onsd éeu!Ainsi, la tech- cartes et bornes du réseau atique… Il compliquera la vie des pirates,atique…Il compliquerades lavie Linux, un client est disponible sur disponible est client un Linux, que le client n’estque le client pasauthentifié, IUS, interrogéparlecom- quisera © Groupe Eyrolles, 2005 par lepoint d’accès on sonttransmis © Groupe Eyrolles, 2005 Eyrolles, © Groupe estin il Decefait, ! (concentrateur) considérer estdumême niveau qu’avecque lerisque un bon vieux d’écoute possibilités sont associés.Les qu Une sansfildiffuselestrames borne Risque d’écouteduréseau : sont possibles (Extended AuthenticationProtocol). d’authentification Différents types l’ utilisée pour La méthode • Si l’authentification aréussi, l’authentification lepo Si • s’authentifieparun mot de passe, client maisiln’y – Le a pas MD5 EAP • tandis que le s’authentifie par un certificat serveur – Le TTLS EAP • s’authentifientmu et le serveur client – Le TLS EAP • recommandée unréseausansfil. sur qui consistent à rejouer une session. Po WEP De plus,cette dynamiques. non seul duserveur. Le d’authentification passe envoyéclient. parle quiprotègede lemot et leserveur entreclient créé le TLS est tunnel un estauthentifié par le client, précédemment. est décrit Dès quele serveur séderdes certificats,de mot s’authentifie parun client ce qui allège la mise en œuvre par rapport à ce qui électroniques certificats des tribution àgestion (PKI) Infrastructure de pour clés la dis- la mise enplaced’une électroniques. Ce mode biais decertificats par le client vers le reste du réseau ; dans le cas contraire, le client est isolé est client le contraire, du réseau. cas le dans ; réseau du reste le vers client le par Client 802.1X pour l’accès au réseau sans fil sans réseau au l’accès pour Authentification 802.1X Authentification Figure 8–17 authentification estdéfinieparleprotocoleauthentification EAP dispensable de déployer sur ce type de dispensable de déployer sur cetype passe. Seuls les serveurs doiventpos- lesserveurs passe. Seuls int d’accès autorise les trames émises lestrames autorise int d’accès sont donc très importantes ; ; on peut sont donc très importantes à tous les utilisateurs du réseau. utilisateurs les àtous chiffrement possibleutiliselesclés ’elle émetàtouslespostes qui lui ’elle ur cesraisons,pas être ellenedoit méthode est sensib estleplussûr, mais il nécessite Borne sansfil Borne Access Point Access S S K K PS OK2 OK1 HS2 HS1 tuellement parle tuellement le aux attaques STA- ACT- COL- 123456789101112 hub FreeRADIUS d’authentification Serveur CONSOLE 185

8 – Topologie, segmentation et DMZ Les Cahiers de l’Admin – Sécuriser un réseau Linux 186 tandem Netfilter/IPtables Pourpare-feu,Linux dotédu ou des du cequi l’implémentation concerne 9. auchapitre serontdécrits moyens àmettre enœuvreexposée. Les pourassurer cettesurveillance elle particulièrecar surveillance d’une accessibles les services abritera tarisée qui peuvent utilement être créées. Parmi laDMZdémili- cesouzones, zone leszones d’identifier duréseaupermettra sance précise des flux à l’intérieur connais- du site.La de lasécurité topologieduréseauestunélémentclé La En résumé… ! de l’entreprise hors oudansleslocaux etcapable del’émetteur située àportée Notez parailleursquelapossibilité en œuvreétablitunVPN. sion comme IPsec ou réseau SSH, estmis comme qui applicatifs des protocoles faire confianceau chiffrement WEP dispon des techniquesdechiffremenréseau règles de basesimplesprocure pour lesfonctionsdeNATde filtrage que offre desfonctionnalités tr déjà une excellente protection.déjà uneexcellente t des communications. Plutôt que de t descommunications. Plutôt depuis Internet. Elle devra fairel’objet devra Elle depuis Internet. est visibledepuis l’extérieur, donc plus d’écoute existe pour toute personne existepourtoute d’écoute de s’associeràla borne, qu’elle soit . Avec. mise enplacede la cetoutil, ible sur les cartes, il faut préférer ible sur les cartes, © Groupe Eyrolles, 2005 ès complètes,aussi bien

chapitre 9

Postes de travail

Serveurs [root] # _ internes

HTTP DNS [root] # _ Serveurs publics (DMZ)

SOMMAIRE B Exploitation des traces Dans les chapitres précédents, nous avons construit une disponibles B palissade qui protège notre réseau, puis délimité une zone Surveillance des systèmes démilitarisée. Nous allons maintenant installer un mirador afin B Métrologie du réseau d’en surveiller les accès. B Scanner et audit B Détection d’intrusion B Pot de miel B Tableau de bord de la sécurité

MOTS-CLÉS B Surveillance B Journalisation, log, Syslog B CNIL B Tripwire B Empreinte B MRTG, SNMP, COMMUNITY B Nmap, Scanner, Nessus B Brute force, Snort B IDS, NIDS, Port monitoring

© Groupe Eyrolles, 2005 Les Cahiers de l’Admin – Sécuriser un réseau Linux • • : ces logiciels, on peut citer B B B script etfont appelàlacommande de basés surun langage sont part d’entreeux bles sur Internet pour analyser les logs. La plu- Ilexiste denombreux développements disponi- • • 190 http://www.cert.dfn http://www.linux-sxs.o http://swatch.sourceforge.net/ basé sur la bibliothèque par le système scripts paramétrablesexécutés régulièrement ;il est constitué d’un ensemble de Hat Red système Linuxissud’unedistribution tème Logwatch Logsurfer Logcheck Swatch elge el; en perl de log cron OUTILS OUTILS , chien de garde et outild’analyse , l’outil installé par défaut sur un , outil d’analyse utilisant lesys- ; , outil d’analyse dynamique d’analyse outil , Analyse de logs cron . .de/eng/logsurf/ regexp rg/files/psionic/ grep ; . Parmi syslog Linux, desla applicationsplupart ex desinformations mettent deconserver desélémentsmisenœuvre plupart La dansunecommunication réseauper- Des traces partout chapitre.présentés dansce quiseront etd’audit lerôledesoutilsdesurveillance C’est tique desécurité. poli- notre de robustesse la quotidien au mesurer de capable être donc faut Il les compromissiocible detoutes hier,fortable s’avère nettementinsuff !Ains sophistiquésen jour plus dejour pi sont enconstanteévolution. Les Par lestechnologiesdont nous ailleurs, ou non. dedétect qui permettra surveillance de l’abri, pasà sera ne notre entreprise sur le sitede Tamalo.com.sécurité et Mais cetteprotection rien ne vaudra plusmodérégrâceàLinux,nousavonsdéployé unepolitiquede matériel le sur important effort d’un Au prix Pour des envisager l’exploitation choix pourgérer pr lestraces 5, auchapitre décrit Comme celaaété Linux etlesyslog u hcnd er ot ! sur chacundeleursports letrafic concernant nombred’informations uncertain conservent modernes lescommutateursEnfin, de métrologie oudefacturation. de sécurité, fins paquet qu dechaque latrace conservent mécanisme de journalisation dans un cations, à défaut de cette fonctionna ’nebedslg nsrp ’nls escrt : desécurité d’analyse deslogsunscript l’ensemble à d’appliquer plus aiséeduparc etpermettra uneadministration permet 9-1. Cela sur unemachine, de lescentraliser comme indiquésurlafigure L’administrateur recevra • aprse rvnned machines. en provenance deN rapports N nique parexemple)contenant un pour journaliser les événements qui se produisent. Les autres lesévénementsquise appli- pour journaliser produisent. Les un seul rapport quotidien (par courrier électro- courrier quotidien(par seul rapport un oduitesau niveau applicatif. ns s’iln’aévolué demain. pas logs plan humain, ajouté à un investissement àun humain,ajouté plan rates disposenteuxégalementd’outils rates si nous n’y ajoutonspasunmécanisme lité, possèdent en général aumoinsun lité, possèdentengénéral Unix, ilestabsolumentindispensable écutées saventutil disposons pour développer la sécurité la développer pour disposons fichier dédié.Demême, les routeurs isant aujourd’hui et fera de nous la etfera isant aujourd’hui i, un niveau de sécurité qui était con- le système « syslog » est unoutilde » syslog « lesystème er les tentatives d’intrusion, réussies tentatives d’intrusion, er les sur celle-ci. Sur lesmachinessous Sur surcelle-ci. i lestraverse,à des pourlesexploiter bilan des incidents, plutôt que © Groupe Eyrolles, 2005 iser lemécanisme Chez Tamalo.com, le gestionnaire de logs, dont est l’adresse © Groupe Eyrolles, 2005 Eyrolles, © Groupe 192.168.154.250 eaetrpéet u afgr 9-1. cela estreprésenté surlafigure • Le script d’analyse mettra enéviden mettra d’analyse script Le • • En cas de compromission d’une machine, il est probableque les machine, ilest decompromissioncas En d’une • il en subsistera une copie sur lamachined’analyse. une copiesur il ensubsistera ressants pa soientdétruits êetnaiesrl evu 2unesecondeplustard. même tentativesurleserveur 1suivie par la comme unetentative de connexion SSHsur le serveur 192.168.155.254

Ethernet 193.48.97.91 193.48.9 A C 1 7 2 8 3 9 1 4 0 1 5 1 1 6 2 1 7

x x syslog 2 8 F FirewallFi x x

3 9 syslog x x 97 A irewal Li Linux 1 4 0 rewa x x 1 5 1 x x n 1 6 2 x . x 92 ux 1 7 x x 2 8 x x 3 9 x x B 1 l 4 0 x x 1 5 1 x x 1 6 2 x x 192 , est installé dans la zone des serveurs internes,comme desserveurs dans lazone est installé , . 168 Interne

Ethern . FW A C FW 154 1 7 2 8 b 3 9 1 4 0 1 5 1 1 6 2 Figure 9–1 1 7 x x t

2 8 A x x . B VLAN 254 3 9 x x A 1 4 0 x x S 1 5 1 x x 1 6 W 2 x x 1 7 x x 2 8 x x 2 3 9 x x 2 B 1 4 0 x x r le pirate. Parle mécanisme de centralisation, 1 5 1 x x 1 6 192.168.155. 2 x x 192 syslog 193.48.97.65 . C C 168 D lient2 lient1 Centralisation des logs des Centralisation

N syslog . S 155 S Ethernet W 1 . 2 1 A C 1 7 2 8 3 9 1 4 0 1 5 1 1 6 2 ce le synchronisme desévénements, ce lesynchronisme 1 7 x x 2 8 x x 3 9 x x A 1 4 0 x x 1 5 1 x x I D C 1 6 2 x x 1 7 x x syslog 2 8 x x syslog 3 9 x x B 1 4 0 x x 1 5 1 x x 1 6 2 x x 193 . WWW 48 . 9 7. 67 VLAN3 S W2 1 192 9 2.1 . 168 68 1 SQ NF 192.168.154.25 92.168.154.1 0 0 .1 . 193 154 L S 5 Serveur 4.1 de logs PRINT . . 48 11 FTP 0 0 0 . 9 logs 7. 69 3 inté- machines. grammer dans lescriptdepost-installation des systématique. Ilseradoncintéressant delapro- Ilest importantla centralisation que soitbien machines, si cela se produit au lancement du IP. Sur certaines êtreen résolu adresse DNS, lenom du gestionnaire delog ne peut pas machinede la ou encasdeproblème avecle Endu processusdébut effet,au d’initialisation IPdela machine delogque son nom. l’adresse ( Dansfichiers deconfiguration les desclients B log des messagespossibilités defiltrage offre des nisme de syslog d’Unix. qui se substitueavantageusement au méca- syslog-ng estunsystème degestion des syslog ylgn s ipnbesrl ie: Syslog-ng est disponible sur le site avecenvironnement segmenté despare-feu. bilités deredirectionpuissantes plus dansun autre machinepour Deplus,marré. d’aucune dépendre il nedoit qu’il soit ledernier arrêté et lepremier redé- ;il faudra donc veiller à ce jamais être arrêté Enlogle gestionnaire principenedevrait de ! simplement pasfaite /etc/syslog.conf http://www.balabit.com/products/ syslog_ng/ pour lagestioncentralisée des logs surle contenu. Il offre également des possi- P IÈGES , lacentralisation deslogs n’est tout

ÉVITER OUTIL OUTIL

Continuité deservice booter syslog-ng En particulier,syslog-ng ), il vaut mieux utiliser . 191 logs

9 – Surveillance et audit Les Cahiers de l’Admin – Sécuriser un réseau Linux avec les moyens destockageactuels. Go/an, ce quiest parfaitement compatible de 4 Linux utilisées de façon soutenue estdel’ordre sation deslogs d’une trentaine de machines La quantité dedonnées produiteparla centrali- BON À SAVOIR À SAVOIR BON 192 • • suivantes édictéespar laCNIL. (ceux auWeb parexemple), ilestprudent derespecter les règles Enparticulier, sionsouhaitejournaliseraccès les l’extérieur vers teurs qui sontdéfinis par laCNIL. pas être effectuée sansprendre en compte lesdroits des utilisa- En France, la mise en place d’un système de surveillance ne doit prodigue quelques conseils en matière de surveillance réseau. La CNIL (Commission Nationale de l’Informatique etdes Libertés) R ÉGLEMENTATION Proportionnalité Transparence quant aux utilisateurs quelles informations sontjournalisées. informations quelles utilisateurs aux quant Webpage d’une indi- création la est simple plus CNIL,le la pondants. Pour mettreen œuvre corres- log de conservation desfichiers de durée la de que ainsi accèsexternes,des dejournalisation d’unprocessus l’existence processus de surveillance est mis en place. Si par exemple la Volume des fichiers journaux

La surveillanceetlaCNIL : les utilisateurs doivent avoir connaissance de connaissance avoir doivent utilisateurs : les : ilfautsedemander pour quelle raison le cette transparence exigée cette transparence par Les ! trop fréquentsoubavards, quineseront paslus un message debilanquotidien, d’envoyer chargé d’analyse script d’un Aude l’écriture momentdelaconfiguration ou gestionnaire. le logsvers les postes pourrediriger pouraccepterleslogsentran d’analyse Le chapitre 5 a décrit la configuration du service configurationduservice la décrit 5a chapitre Le Il estnécessaire Il de modifier la configuration sence et installer une ou plusieurs portes dérobées surlesystème. plusieurs portes une ou sence etinstaller machine, fichiers sontcertains modifi chapitreComme au celaaétédécrit : Tripwire Empreinte desmachines en ajoutantlalignesuivante nne paraît appropriée dans la majorité descas. majorité la dans appropriée quotidienneparaît tion. Unepériode UDP 514 correspondant au serveur 514correspondantauserveur UDP les requêteslaisser passer depuistoutes UDP 514 est le port utilisé par le service syslogd. service le par utilisé port le est 514 UDP de logs. IPdugestionnaire est l’adresse 192.168.154.250 ACCEPT -j 514 --dport UDP -p 192.168.154.250 -d fwB -A iptables logs étantregroupésun fichier dans • B http://www.cnil.fr Discussion collective Discussion par ces derniers. les utilisateurs risque mal bonne marche dusystème,une carsécuritémal comprisepar politique de sécurité. C’est là unélément essentiel pour la utilisateurs sur cesujetestunegarantie deleur adhésion àla représentants.ouleurs De plus, dele faitdonner laparoleaux plus largement possible être approuvées par les personnels intrusion dans la vie privée de l’utilisateur. l’objectif. Cetteanalyserisqued’être considérée comme une une machine seraplus difficilement justifiable parrapport à détail des connexions de l’ens dérée comme proportionnée au butrecherché. L’analyse du sons desécurité, uneanalyseen volume pourraêtre consi- journalisationWeb desaccès mise enplacepourest desrai- dans le fichier de règlesdudans lefichier syslogd ts, ainsiquelaconfiguration desautres és par le pirate pour masquer sapré- pourmasquer és parlepirate : lesmesures desurveillance doivent le les machines du réseau versleport dules machines 3, en cas de compromission3, en d’une cas il faut veiller à éviter les messages les à éviter ilfautveiller ique,assurer ilfauten unerota- heureusement d’être contournée du serveur de logs. Cela est fait delogs.Celaest duserveur IPtables emble dessitescontactéspar © Groupe Eyrolles, 2005 syslog du iealB firewall iealB firewall de la machine dela . , pour distributions Red Hat. Sa miseenœuvre estindispensable. Hat.Sa Red distributions © Groupe Eyrolles, 2005 Eyrolles, © Groupe page Web. constantaucoursdutemps. est donc informations sontmois, années. stoc Les semaines, 9-2donnent coursdutempsenjours, levolumetransféréau figure graphiquesla présentéssur de site.Les enentrée particulier réseau, en Facile àinstaller,oir unevision de MRTG d’av permet duréseau. la volumétrie de visualisation MRTGTraffic (MultiRouter un outilderéférence est la Grapher) pour avec MRTG Métrologie réseau Tripwire Tripwire dans de très dans detrès la nombreux déte cas base de données des signatures des fich électronique, en casde modification de l’ l’ad courante et l’empreinte Cetteempreinte se MD5…) d’empreinte création,de datedernière modification, taille,calcul numérod’inode, (propriétaire,rapportegarantissant auquel se dufichier elle l’unicité date de àsurveiller.fichiers signature Cette es la signature des de chacun avec phased’initialisation, d’une référence lors Une version de de version Une mentaprès de celui-ci. l’installation lamach de d’exploitation système où le B Extradéveloppé auLPSCpermetlestockagelogiciel des Le OUTIL B comme uneversiêtre considéré RRDtool peut A B : porté sur la plupart desversions d’Unix. MRTG est distribué sous licence GPL Tobias Oetikert est l’auteur etl’animateur du O par service sous la forme de gr données MySQL.UnserveurWeb LTERNATIVE UTIL http://lpsc.in2p3.fr/extra/ http://people.ee.ethz.ch/~oetiker/webtools/rrdtool/ http://www.mrtg.org

MRTG Plus loin dans l’analyse des logs routeur avec Extra

offrentdes possibilités dechiffrem de prendrede permet l’empreinte RRDtool Tripwire issue du projet estprésentedansles Source issuedu Open aphique enhistogrammes empilés. ministrateur sera avisé, en général parun courrier général avisé, en sera ministrateur Tomcat permetd’afficher des ction d’une intrusion sur unsystème. sur intrusion ction d’une Tripwire ine est sain, le plus souvent immédiate- ine estsain,leplussouvent Ellessontprésentéessous de forme projetMRTG. Développéenperl,MRTG est t constituée de nombreux de indicateurs t constituée on plus récente et plusévoluéedeMRTG. intégrité d’un fichier. d’un intégrité Pour la sécuriser iers, les versionsiers, les les plus récentes de kées dans le graphique, leur volume kées danslegraphique, ra ensuiterégulièrement à comparée ent decette base etdesrapports. s fichiers critiques à un moment crée une base dedonnées unebase crée logs routeur dans une base de top ten la consommation la consommation du Tripwire parmachine ou apermis matériels réseau. de deséquipementiers par l’ensemble adopté Aujourd’hui, SNMP estdevenu un standard Base). Information ment structures dedonnéesformatéesMIB (Manage- tions. fonctionnalités proposées suivant les distribu- importantesdifférences On dans notedesles 3.0 Commercial Release(Tripwire Tripwire • 2.3 (TripwireSource Project) Open Tripwire • 1.3.1 AcademicRelease Source Tripwire • un grand nombredesy 1.3.1 résidedans lefaitqu’elleestportable sur par les versions 2.3 et 3.0, l’intérêt dela version S’il semble que l’avenir decet outil soit assuré Trois versions deTripwire coexistent àcejour. ( communauté d’une d’agents d’informations permet notamment lecontrôle etla collecte fonctionne sur le modèleagent/manager. Il UDP. Trois versionsvu lejourdepuis ont 1988. Il réseausur nistration deséquipementsbasé 1157,protocole estun d’admi- défini par laRFC SNMP (Simple Network Management Protocol), B B B community http://www.tripwire.com http://www.tripwire.org http://ftp.cerias.purdue.edu/pub/tools/ Security Systems Inc.) Research Foundation)(Purdue unix/ids Management Protocol (SNMP) B.A.-BA B.A.-BA enanglais),traversà l’échange de O UTIL Simple Network

Tripwire stèmes d’exploitation. 193

9 – Surveillance et audit Les Cahiers de l’Admin – Sécuriser un réseau Linux 194 visualisation du trafic extérieur dutrafic visualisation Figure 9–2 RG: MRTG pourquoi ilest vivementrecommandé de utilisatio pour unemeilleure particulier en gestion bonne une duréseau, utilepour très métrologieestégalement La 3. auchapitre décrit machine est utilisée comme serveur machine estutiliséecommeserveur compromission conséquencedela la soit qu’une réseauanormale fréquemment consommation arrive Il sécurité. réseau es dutrafic visualisation La duréseau. detempsréguliersauprèsdesélémentsactifs besoin àintervalles a il dont protocoleSNMP, MRTGinformations Grâce au les collecte t une information importante pour la pour importante t uneinformation warez n delabande passantedisponible. C’est d’une machine. C’est le cas quand la lecas C’est machine. d’une se doter d’un outil telque MRTG.se doter d’un par lespirates,commecela est © Groupe Eyrolles, 2005 configuration est configuration de fichier réseau. Son surveillance de lamachine par gation decedernier lement ou construit à l’aide de la commande commande la de à l’aide construit ou lement lecture seule comme l’indique lefichier lecture seulecomme l’indique Le service De la même façon que pour le syslog le De lamêmefaçonpour que © Groupe Eyrolles, 2005 Eyrolles, © Groupe IPtables ( ( Le service Configuration SNMPdu Installation etconfiguratio La configuration sera faite dans le but d’autoriser l’accès l’accès butd’autoriser dansle faite La configuration sera du le pare-feu. Cela estfait en ajoutant la lignesuivante dansle fichier de règles lecture seule, Comme l’indique cefichier, Comme l’indique seulelamachined’analyse 9-3. figure rh71.tamalo.com gateway.tamalo.com service snmpd start snmpd service snmp. leservice par leport utilisé 161 est - UDP rh71.tamalo.com. surveillance de machine la de IP l’adresse est - 193.48.97.70 ACCEPT -j 161 dport -- UDP -p 193.48.97.70 -d NEW --state state -m fwA -A iptables iealA firewall pour laisserpasserlesrequêtes SNMP depuis sur leport snmpd snmpd àinterroger lepare-feuenSNMP. . pu lr telnéae acmad : peutalorsêtre lancéaveclacommande doit êtredoit lancésurle /etc/snmp/snmpd.conf ). L’accès à la seraautorisé ) à partir de la machine d’analyse machine d’analyse dela àpartir ) iealApouraccepter lesrequêtes MRTG firewall n deMRTGchezTamalo.com iealA firewall , il faut modifierlaconfiguration il , . Ce fichier peut être édité manuel- npof–g snmpconf /etc/snmp/snmpd.conf COMMUNITY pourpermettrel’interro- rh71 nommée snmp . est autorisée, estautorisée, au iealA firewall tamalo rh71 dela MRTG vers en en ofgrto npd iealA firewall snmpdu Configuration Figure 9–3 195

9 – Surveillance et audit Les Cahiers de l’Admin – Sécuriser un réseau Linux 196 Il est nécessaire de créer un utilisateur est nécessaire un decréer Il archive,pacté son ilestcompiléetinst RGetaoslnéprl omne: MRTGalors lancépar lacommande est Lancement lacommandequisuit. par fichier de configurationLe de MRTG Configuration MRTG mrtg adduser MRTG est installé sur Installation Installation etconfiguration de quement créées par MRTG quement créées danslerépertoire seront automati- dutrafic visualisation nécessairesàla pagesHTML Les Visualisation dutrafic mrtg Root fournir l’accès aux graphiques MRTG. La racine de ce serveur ( aux graphiques MRTG. deceserveur l’accès fournir Laracine Web cette même Sur machine, ilestnécessaire delancerun serveur destiné à ersla s iil u afgr 9-2. estvisiblesurlafigure résultat Le : fairesuffit depointerunepageWeb Il verslapage denotre serveur /home/httpd/mrtg/gateway.tamalo.com_2.html /home/mrtg/cfg/mrtg.cfg /usr/local/mrtg-2/bin/mrtg cfgmaker. commande la par créé mrtg de configuration de fichier le est /home/mrtg/cfg/mrtg.cfg - d’analyse. résultat de html fichiers les créés seront où répertoire le est /home/httpd/mrtg - A. firewall le c’est-à-dire gateway.tamalo.com, sur ensnmp a l’accès qui ou community groupe du le nom est - tamalo : commande cette Dans [email protected] /home/mrtg/cfg/mrtg.cfg –output growright' Bits, 'Options[_]: –-global /home/httpd/mrtg' 'Workdir: --global cfgmaker install make ; make ; ./configure en anglais) sera configurée pour configuréepour pointer sur lerépertoire enanglais)sera . . rh71.tamalo.com MRTGsurlamachined’analyse légâeàl éunetè lsiu : classique à laséquencetrès grâce allé peut être defaçonpeut créé automatique mrtg . Après avoir récupéré et décom-et récupéré . Après avoir sur sur /home/httpd/mrtg rh71 © Groupe Eyrolles, 2005 , avec la commande la avec , /home/httpd/ . Document ffectivement vulnérables depu effectivementvulnérables visibilité des services aurons nous 9-5).Ainsi, une figure desite(voir d’entrée dupare-feu rieur Tamalo.com,a étéutilisédanscemode il » propreme attaque quieffectue l’« serveur mode en Nessusfonctionne © Groupe Eyrolles, 2005 Eyrolles, © Groupe plug-in dedétecterlaversion Nessusest capable d’impo yajoute Il tionnalités. Nessus NMAP, est basé surlescanner dont des fonc-il intègre l’ensemble rése nombre devulnérabilités grand système Nessus estun logicield’audit avec Nessus Audit réseau sur Par avis exemple, àlaréceptiond’un machine sans surune service sence d’un pré- la rapidement que Nessusde vérifier (voirsectionsuivante),ilpermet faci Plus ensembledemachines. ou d’un machine d’une balayerde lesports permet réseau. Il scanner NMAPun est NMAP de votre réseau avec la commande : : de votrelacommande réseau avec ause 22correspondant port vice surle otel iue9-4. figure montre la recensant les vulnérabilités est largem recensant est vulnérabilités les connaissances basede La comportement. son de fonction en mais d’accueil sshd . liste des machines offrant unser- machines offrant lalistedes d’établir , NMAPvouspermet Figure 9–4 client-serveur. Le client permet deconfigurer permet le client client-serveur. Le rtantes basesde connaissances.rtantes Scan d’un réseau avec NMAP avec d’unréseau Scan mp-2 193.48.97.64/27 -p22 nmap indiquant l’existence d’une vulnérabilité d’une indiquant l’existence au sur les systèmes lesau surlessystèmes plusconnus. ent évolutive grâce aux possibilités de possibilités ent évolutivegrâceaux rvice SSH. Il suffit d’exécuter unscan suffitd’exécuter Il SSH. rvice nécessiter de compte sur celle-ci. nécessiterdecomptesurcelle-ci. et réseau. Il permet dedétecterun permet et réseau.Il d’un service sans ut service d’un le et plus rapide à mettreœuvre à le etplusrapide en , afin de placer le serveur à l’exté- , afin deplacerle serveur nt ditedelamachine visée. Chez is l’extérieur duréseau. is l’extérieur iliser la bannière , commele s itiu oslcneGL: est distribué souslicence GPL depaquets lacapture sur pour NMAP le réseau. niveau pour lecontrôle duréseau, en particulier B libpcap Hat. Ilutilise la bibliothèque butions Linux Red NMAP est distribuéen standard avec les distri- B GPL. Nessus.projet Nessuses du l’animateur et l’auteur est Deraison Renaud B les CGI. performant pour détecter lesvulnérabilités dans vulnérabilité dans lesserveursWeb. Ilesttrès Nikto (remplaçant deWhisker) estun scanner de aechecks safe recommandeles testsavecl’option delimiter des machines enproduction,laprudence portertelle uneagression sanstomber. Sur devraient être solides suffisamment pour sup- services réseau, visibles depuis l’extérieur, rieur denotre site, nous avons estiméqueles Ayant positionné leserveurNessus àl’exté- veur peut avoirpour effetde lefairetomber ! attaque. Par conséquent, l’analyse d’un ser- Nessusde s’assimileàune Le comportement A TTENTION http://www.insecu http://www.nessus.org http://www.nessus.org http://www.freshports.org/security/nikto OUTIL

, qui fournit les fonctions de bas pour les serveursWeb les pour Scanner devulnérabilité ! O O UTIL UTIL

Nessus re.org/nmap NMAP t distribué souslicence distribué t 197

9 – Surveillance et audit Les Cahiers de l’Admin – Sécuriser un réseau Linux 198 Figure 9–6 connexion au au serveur connexion ofgrto ucin ess: Nessus du client Configuration s’agit d’une machine extérieure à machineextérieure s’agit d’une Nessusd host différents ongletsla fenêtre Ne de configurationLa deNessus comprend Configuration deNessus 192.168.155.254

Ethernet 193.48.97.91 193.48.97.92 A C 1 7 2 8 3 9 1 4 0 1 5 1 1 6 2 1 7 x x 2 8 F FirewallFirewa x x 3 9 x x A irewal Li Linux 1 4 0 x x 1 5 1 x x n 1 6 2 x x ux 1 7 x x 2 8 x x – Définition du serveur Nessus (pour notre étude de cas, il Nessus (pournotre étudedecas, – Définitionduserveur 3 9 x x B Figure 9–5 1 l 4 0 x x 1 5 1 x x 1 6 2 x x 192 . 168 Internet

Ethern . FW A C FW 154 1 7 2 8 b 3 9 1 4 0 1 5 1 1 6 2 1 7 x x

2 8 A x x . B VLAN 254 3 9 x x A 1 4 r et du client Positionnement client Nessus et du serveu r du 0 x x S 1 5 S 1 x x 1 6 W 2 x x L 1 7 x x 2 8 x x 2 3 9 x x 2 B 1 4 0 x x 1 5 1 x x 1 6 192.168.155. 2 x x NESSUS 193.48.97.65 CLIENT C D lient2 notreADSL). connectéesur réseau N ss om emnr afgr 9-6. le montrefigure ssus, comme la S S Ethernet W 1 2 A C 1 7 2 8 3 9 1 4 0 1 5 1 1 6 2 différentes étapescorrespondant aux 1 7 x x 2 8 x x SERVEUR 3 9 x x A 1 NESSUS 4 0 x x 1 5 1 I x D x C 1 6 2 x x 1 7 x x 2 8 x x 3 9 x x B 1 4 0 x x 1 5 1 x x 1 6 2 x x 193 . WWW 48 . 9 © Groupe Eyrolles, 2005 7. 67 VLAN3 S W2 192 1 9 2.1 . 168 68 1 SQ 192.168.154.12 NF 92.168.154.1 0 0 . .1 193.48.97.69 154 L S 5 4.1 PRINT LDAP . 11 FTP 0 0 0 3 n’a paseffectué. correspondant pasétéactivé,letest nesera par exempl manquantes, des dépendances © Groupe Eyrolles, 2005 Eyrolles, © Groupe Prefs Plug-ins nérabilités. »Nessus àattaquer leréseauet aider « pirate,dont on pour êtresuppose qu’elles pourraient danslesmainsd’un il Ainsi, rendre le pour efficace. plus dusite àlaconfiguration lescan d’adapter permet dutemps. Il l’essentiel • • • • • • • lisant la technique dite de dite latechnique lisant un mot de passe, afinque Nessus essaye cemot dede passe casser en uti- toutes les chances qu’untoutes les essaye pirate Cette même technique peut être appliquée sur les services Cette mêmetechniquepeutêtre appliquéesurlesservices lablement obtenu avecNMAP. préalablement unfichier par scan le NMAP quiestintégrédansNessus. Notez qu’il est possible de remplacer produits Cisco pourla connexion n’était onindiquer icile paslecas, pourrait nom Tamalo.com,Chez ce l’extérieur. SNMPle trafic depuis estfiltré Si connecter enSNMP. mations comme une clé privée ouune privée mations commeuneclé nombreNessus d’infor- couchesSSL enfournissantà sur lesun certain NIDS evasion SMTP settings Services imap HTTP LOGIN Configuration NMAP qui aétédéfiniesur SNMP comptes utilisateur, iue9-7). figure machine. cesinformat d’exploiter capable serait destination de l’extérieur. s’ilaccepteindûment derelayerenprovenance unmessage vérifier età même silesoptions anti-IDSsont validées. qui suivent deremonterpermet des éventuels IDSmi ment des utilisation deNessus pour IDS.ou L’objectifd’intrusion ce de attaques deNessusles pas nesoient – Cet onglet est celui sur lequel l’administrateur réseau devra passer réseaudevra – Cetlequel l’administrateur ongletsur estcelui , – Listedes plug-ins qui seront misenœuvre S’ilya pourlescan. – Permet deprécisericil’URL socks – Il est possible de donner le nom d’une est possible dedonnerlenom– Il d’une – Ces options correspondent à la àla correspondent – Cesoptions – Il est possible d’essayer deles casser est protocoles quis’appuient possible d’essayer – Il , rexec – Certaines possibilités sont – Enfin, on peut s’intéresser au serveur de messagerie et demessagerie peut s’intéresser– Enfin,onauserveur , ftp nntp gateway.priv.net – Il est possible de fournir un certain nombre de un certain estpossibledefournir – Il , , pop attaquer un site, mais de valider le fonctionne- le valider de mais unsite, attaquer brute force brute ICQ s en œuvre.s L’IDS danslesparagraphes décrit , , imap PCNFS est possible de donner des informations, des dedonner possible est découvrir d’éventuelles nouvellesvul- d’éventuelles découvrir , . s options n’estpermettreune pas de user visibles par un système visibles parunde détection système samba cenoms’ils’attaqueànotre site. , ions pourprendre le contrôle de la d’une page HTTP accessibleavec pageHTTP d’une e unplug-innécessairetest pourle passphrase alertes en cas de scan deNessus descan cas en alertes samba (voir ci-dessus). En effet, il y a (voirci-dessus).effet,il En ou la oula connexion configuration fineduscanner égalementdonnées pourque , snmp , LDAP community . tamalo , afin de voir si Nessus , ainsiquecontre des de la autorisée àse autorisée enable telnet community (voir , ftp , le .Cézu tlstu vcl omne: Créez un utilisateur avec la commande 6. uvne : suivantes archives extraites, oneffectuelesétapes corpsprogramme etlesplug-ins. du Une fois les .Répertoire 2. Répertoire 1. fichiers Nessus se présente sousla forme dequatre .Enfin,avecle serveur lancez 7. Ajoutez 5. Répertoire 4. Avant decontinuer, vérifieril faut que Répertoire 3. local/bin PATH libd.so.conf client avec /ofgr ae;mk install ;make ;make ./configure install ;make ;make ./configure nessus-adduser nessus-adduser install make ; ;make ./configure install make ; ;make ./configure tion avec E N

. tar PRATIQUE /usr/local/lib ldconfig comprenant lesbibliothèques, le et nessus-library libnasl nessus-plugins nessus-core nessus

Installation deNessus Installation /usr/local/sbin puis validez modifica- la . . : : nessusd à : /etc/ : sont dans sont /usr/ 199 et le et

9 – Surveillance et audit Les Cahiers de l’Admin – Sécuriser un réseau Linux Figure 9–7 200 Nessus, despr configuration frne rt oc » force brute « : éférences serveur enproduction. serveur Target selection Scan options étant vulnérable. détecté commepropose également desconseils pour mettre àjourleservice 9-8,Nessus Commefonction deleur gravité. cela surlafigure est présenté » en sens interdit » ou« danger évidence les parunpanneau« vulnérabilités sur lamachine etmeten ouverts desservices Nessusfeu. détectel’ensemble complèteen installation d’une brute 9-8aét donné sur la figure rapport Le Rapport d’audit l’option haite scanner. aussiàcetendr C’est safe check safe – Cet onglet permet d’ajuster la plage de ports que l’on sou- que l’on laplagede ports – Cet d’ajuster onglet permet Figure 9–8 – Permetou lesmachinesvisées. la dedéfinir qui permettra d’éviter deprendre un decasser lerisque d’éviter quipermettra Résultat d’audit Nessus d’audit Résultat e a 7.1,non protégée parunpare- Hat Red oit qu’il estpossibledepositionner é établi avec Nessus surunemachine © Groupe Eyrolles, 2005 d’un paquet ICMP paquet d’un ment possible d’utiliser un d’utiliser possible ment une machine, qui produit le message d’erreur d’erreur une machine,message quiproduitle Sur lecommutateurSur dédiéàlaDMZ,nousavonsdonc de configuré leport réseau PourSn de fonctionnement le valider l’interface © Groupe Eyrolles, 2005 Eyrolles, © Groupe seul pré-processeur deconfigurationprésent danslefichier enmoinsde scans sées pardéfaut (4 propo- valeurs sons qui pénètrent uniquement auxscans dansleréseau. Les intéres- nous nous où minimale uneconfiguration Nous choisi donc avons ! retrouverflot d’alertes submergéparun recommandéil est deprogresserpe par Pour NIDStelque Snort, en œuvre la mised’un dans quisouhaiteselancer Configuration etvalidation de rh71 rh71.tamalo.com 9-9) sur la machine a étéSnort installé dans la DMZ (voir figure Mise enplacedelasondeSnort qui peuvent apparaître. faux positifs, ou lesseuils pour éviterles nombreuses faussesalertes, d’ajuster très délicat Malheureusement, sont souv cessystèmes réseau desscans plupart de détecter la Un leréseau. écoute sur en surveillance unesignature par reconnaissaattaque est caractérisée L’idéeDetection System). exploitée par estunsystème dedétectionSnort (NIDS, d’intrusion Network Intrusion Snort : Détection d’intrusion s’appelle le s’appelle surunautre. port Cette du fonctiontrafic d’un derépliquer l’ensemble plupart, connexion – c’est cetteopti –c’est connexion trafic entrant et sortant du réseau. du sortant et entrant trafic donc le donc l’attaque unpeu plus l’attaque lui-même connecté à connecté lui-même cela, nous avons utilisé unefonctionnalité des utilisé avons nous cela, du La doitvoir machinel’ensemble Snort en tamalo.com portscan port monitoring port eth2 port monitoring de (iue9-10). (figure dans le but d’analyser le trafic entrant du réseau. du entrant trafic le d’analyser but dansle Echo Request Echo à l’aide de NMAP (voir figure 9-11). Afin de rendre de Afin 9-11). figure (voir NMAP de l’aide à gateway discrète, nous avons utilisé l’option discrète, nousavons utilisél’option gateway/eth2 pour répliquer le trafic du port d’entrée duréseau, d’entrée du port trafic le répliquer pour HUB . Si on ne dispose pas de cette possibilité, il est égale- on, appliquée à un réseau appliquée àunréseau on, estdupliquésur pour lequel le trafic est répété sur tous les ports ! ! ports les tous sur répété est trafic le lequel pour ( ping (iue9-9).Dans ce mode, sur letrafic (figure opi e cn et ufris! lentsoufurtifs scans les compris , y secondes) paraissentraisonnables. Le 3 Snort,détectiondesscans ort, nous avons effectué un scan du unscan effectué avons nous ort, tel système seraen tel système ), sur la machine avant la tentative de tentative la avant machine la sur ), traficqui entredans leréseau. Pour ce type de systèmes est quetoute est desystèmes type ce ent difficiles à déployer, ilest car tites étapes afin d’éviter dese afin d’éviter étapes tites strange error from connect strange error switchs rh71 ble grâce à un système de ble grâceàunsystème , qui voit du l’ensemble , qui permettent, pourla qui permettent, , 193.48.97.0 -P0 particulier capable particulier , , qui évitel’envoi snort.conf etnon à . est de routeurs ou de pare-feu eten particulier les Detescan peut êtreutilisé avecun grand nombre La détection des La détection nistrateurs dela machine. courrier envoyé dansun mations,fournit detescan un rapportquotidien B scannés logs scans Detescan est un programme dedétection des sécurité carlaconnaissancedes services moment donné. moment les vulnérabilités exploitées parlespirates àun B GPL. licence distribué sous est projet Snort.Snort Martin Roesch estl’auteur etl’animateur du O UTIL http://www.igh.cnrs.fr/perso/ denis.pugnere/detescan/detescan.hmtl http://www.snort.org produits par IPtables. produitspar cesinfor-À partirde

rejetéspar lerouteur d’entréed’un site. Snort donne une information précieuse sur OUTIL Détectiondesscans scans estimportante pour la électroniqueauxadmi- 201

9 – Surveillance et audit Les Cahiers de l’Admin – Sécuriser un réseau Linux 202 Connexion de la machine dela Connexion d’analyse dans la DMZ d’analyse dansla Figure 9–9 dont il saura reconnaîtredont ilsaura lasignature. des vers exemplepar par réseau, d’attaque encas sonmontrera efficacité Le scan est détecté par Snort et lai est détectéparSnort scan Le mentaire de celle donnéeauniveaude le mentairechaque machine par decelle L’IDS esttrèscomplé- réseau. Elle visiondes attaques au niveau la apporte log/snort/alert 192.168.155.254

Ethernet 193.48.97.91 193.48.97.92 A C 1 7 2 8 3 9 1 4 0 1 5 1 1 6 2 1 7 x x 2 8 F FirewallFirewa x x 3 9 x x A irewal Li Linux 1 4 0 x x 1 5 1 x x n 1 6 2 x x ux 1 7 x x 2 8 x x 3 9 x x B 1 l 4 0 x x 1 5 1 x x 1 6 2 x x 192 . 168 Internet om ’niu afgr 9-12. figure la l’indique comme , Ethern Monitor . FW A C FW 154 1 7 Port 2 8 b 3 9 1 4 0 1 5 1 1 6 2 1 7 x x

2 8 A x x . B VLAN 254 3 9 x x A 1 4 0 x x S 1 5 1 x x 1 6 W 2 x x 1 7 x x 2 8 x x 2 3 9 x x 2 B 1 4 0 x x 1 5 1 x x 1 6 192.168.155. 2 x x 192 193.48.97.65 . C C 168 D lient2 lient1 N . S 155 sse une trace dans le fichier de log fichier dansle sse unetrace S Ethernet W 1 . 2 1 A C ² 1 7 2 8 3 9 1 4 0 1 5 1 1 6 2 1 7 x x 2 8 x x 3 9 x x A 1 4 0 x x 1 5 1 I x D x C 1 6 2 x x 1 7 x x 2 8 x x 193.48.97.93 3 9 x x Surveillance B 1 4 0 x x 1 5 1 x x 1 6 2 x x SNORT 193 . WWW 48 . © Groupe Eyrolles, 2005 9 7. 67 VLAN3 S W2 192 1 9 2.1 . 168 68 syslog 1 1 SQ NF 92.168.154.1 92.168.154.1 0 0 . .1 193.48.97.69 154 L S 5 4.1 LDAP PRINT . 11 FTP 0 0 0 . Snort /var/ 2 3 © Groupe Eyrolles, 2005 Eyrolles, © Groupe le l’indique, nom son Comme Le potdemiel pirate. pirate. dont onespère défaillances nombrede certain configuré pour présenter un miel estdonc potde Le dans le méthodes leurs outils et qu’ils tententde prendre lecontrôle d’ L’objectifpirates. tise des dustratagè leurre, mis en place par un administrateur Figure 9–10 Figure 9–11 Figure 9–12 Configuration de Snort pour détecter les scans les détecter pour deSnort Configuration qu’elles vont être détectées puis exploitées parun potdemiel,enanglais but d’arriver à mieux lescontrer.but d’arriver Lancement du scan avec avec NMAP duscan Lancement Alerte Snort en cas de scan cas en Snort Alerte une connaîtremachine afinde bien leurs me est d’observer les crackers pendant les crackers me estd’observer système, destinéàattirer système, laconvoi- honeypot , estun système B B http://project.honeynet.org/ http://project.honeynet.org/ http://www.citi.umich.edu/u/provos/ honeyd/ RÉFÉRENCES RÉFÉRENCES Pot de miel de Pot 203

9 – Surveillance et audit Les Cahiers de l’Admin – Sécuriser un réseau Linux devra encore fairetourner unrbe! vulnérable chance au pirate d’attaquer un service %de de vulnérabilité, ilne resteque10 %parmiles vrais ne présentent pas et si 80 %desservicessont faux : si 50 solution typede ce pour les statistiquesplaident niser la riposte en filtrant cette adresse. Enfin IPetpourra orga- particulier desonadresse connueest del’administrateurqui dispose en pirate s’attaque àun faux service, saprésence B donneaccès àun (faux) fichier l’exploiter.la Siparexemple vulnérabilité lui lité parmi tousles services disponibles puis choisirtemps aupiratequidoit une vulnérabi- leurres ont pour objectif de faire perdre du serveur HTTPprésentant des défaillances. Ces exemple d’unserveurdemessagerieou vices, afin desimuler le fonctionnement par Ce kit fournit un certain nombre defauxser- OUTIL avant deconstater que les mots de passe qués 204 http://www.all.net/ Deception toolkit sont inutilisables. Deplus,le dès que dtk/index.html crack surcefichier passwd cra- il tableau de bord permettra de mesurer deleurefficacité. tableau debordpermettra d’ nombre deplans uncertain sécurité del’entr auxdirigeants claire mation pondéré etmoyenné afin de remonter uneinfor- synthétique sousuneforme à un objectif élémentairerapport desé nombre d’indi certain d’un définition tableau debord implique la mise en placed’un La dud’information. système pertinentes remonter des informations L’objectif estdefaire informatique tableaudebord delasécurité d’un Tableau debord delasécurité : plus finementpossible le tracées Pendantcompromission,la toutesétapes deactions dupirate seront les les automatique. peut être valeur desindicateurs La humain. que constitue le facteur clé venants, cequidonne la mesure del’élément utile deremonter des informations sur la sensibilisation des différents inter- pèse surlesyst mesurermenace qui la D’autr d’information. dubilité système etdonnentuneidéedelavulnéra- objectifdeà un sécu rité parrapport écart d’indicateurs existe différents types Il Les indicateurs desécurité • Quand il estimera est que ilestimera le pirate Quand • • Il ne restera qu’à effectuer une analyse restera ne qu’àanalyse une Il effectuer • • Une fois dans la place, un shell shell un place, la dans fois Une • • Au moment de l’intrusion, les Au del’intrusion, moment • dedé lesystème Avant l’intrusion, • envoyés à un serveur distant grâce à la mise en place de en la mise grâce à distant envoyésserveur àun recueillir un maximum d’informations sur la compromission. la sur unmaximum d’informations recueillir 3pour que ceux au qui ontchapitre étésdécrits d’outils même type tème de détection d’intrusion, isolera la machine duréseau. la machine isolera d’intrusion, dedétection tème machine, prévenudèslapremière phas connaître les de but dansle dupirate lesactions de tracer Debian,permettra avec nible avec syslog-ng parexemple. avec syslog-ng fier la signature de l’attaque et de capturer le trafic réseau. etdecapturer letrafic lasignaturefier del’attaque rootkits installés. root logs obtenue par un traitement ou manuel obtenue par untraitement tection permettra d’intrusion d’identi- cateurs mesurant chacun un écart par chacununécart mesurant cateurs eprise. Poureprise. de atteindre lesobjectifs de sécurité. Les premiers mesurent Les un de sécurité. curité. L’ensemblecurité. decesdonnées est action seront alors mis enœuvre.action serontalors Le ème d’information. ème d’information. es indicateurs sontes indicateurs misenplacepour , tel que le shell opérateur que leshellopérateur tel , allé assez loin, l’administrateur de la l’administrateur assezloin, allé produits par chaque service seront produits parchaqueservice aux décideurs concernant la sécurité aux décideursconcernant la a posteriori e par les alertes fournies par le sys- par fournies lesalertes e par © Groupe Eyrolles, 2005 (analyse (analyse Enfin, ilesttrès forensic logs centralisés osh ) avec le dispo- © Groupe Eyrolles, 2005 Eyrolles, © Groupe existent nombre d’éléments certain à ré laplus difficile est certainement La mesure de l’état humain de laFacteur sensibilis : delamenace Exemples d’indicateurs cédure decollectedoit donc édentes du valeurs préc même indicateur. quecomparés aux d’intérêt La pro- tiques etpeuvent êtreen général remo Ces permettant de mesurer indicateurs la Mesure de la menace : devulnérabilités Exemples d’indicateurs l’efficacité d’un plan d’action. moment etsont àuncertain trèsutiles pour mesurer d’information système cole qui doitêtre possibl leplusprécis rens souvent plus le sont Ils mation. Cespermettent de indicateurs mesurer Mesure de vulnérabilitéla • le nombre le quit ayant decollaborateurs • le nombre de participants à des sémi • ; àdesstagesde sécurité nombre le departicipants • pourcentage demachines • Volume réseau, detransfert • • Nombre d’avis de sécurité enprovenance desécurité duCERT. Nombre d’avis Parmiavis, ces • • la compatibilité de divers incidents : : la compatibilité de divers incidents • •Nombre de dontleservice pourcentage demachines accessibles de l’extérieur • • pourcentage de services jugésdangereuxun par pourcentage deservices • • Nombre de connexions par jour, Nombrepar connexions de nomb • raié a ’nrpiesrl éuié; sursécurité la organisés parl’entreprise comptabilisez également le nombre d’alertes desécurité. égalementlenombrecomptabilisez d’alertes openssh eeta obedacsifraiusfré edn amm éid ; période même la pendant fermés informatiques d’accès au nombre lement par le routeur d’entrée de site ou par une sonde une desiteoupar routeur led’entrée par ’mrit tl éeto ecmrmsin; etladétectioncompromission de d’empreinte heures ouvrables. Cette indication est remontée est par les heures Cette indication ouvrables. du site. généralement remontées de façon automatisée à partir des remontées defaçonautomatisée à partir généralement matique, vols de portables, etc. volsde portables, matique, etàju asl eso eomné ..p ; :X.Y.Zp1 dans laversionest àjour recommandée scans /jour, top ten être stableetbiendocumentée. dotées du logiciel dotées top ten des services desservices qipuetêr eué om : qui peuventêtre mesuréscomme ation des troupes au risque informatique destroupesaurisque ation aliser aliser de façon pratique. Malgré tout,un eignés manuellement, suivant un proto- machine, machine, e. Ils permettent de connaître l’état du deconnaîtrepermettent e. Ils l’état ntés defaçon n’ont automatisée.Ils naires ou des journées d’information naires oudesjournées perte de carte d’accès à la salle infor- la vulnérabilité du système d’infor- du la vulnérabilité système té l’entreprise, comparé uti- qui sera té l’entreprise, menacesontleplussouventstatis- re de connexions en dehors des scannés top ten scan nessus tripwire snort . Cesindications sont service. placée à l’intérieur placée syslog pour la prise pourla . . logs fournis 205

9 – Surveillance et audit Les Cahiers de l’Admin – Sécuriser un réseau Linux 206 pensable. estindis- accrue où unesurveillance sensiblesduréseau, zones aux réservée administrateurs réseau.L’utilisation syst qui d’informations, importante quantité de etles systèmes outils d’audit Les lisation deMRTG pourlamétrologie duréseau. L’administrateurtripwire. réseautirera utilisation surlasimple surveillance del’ informatique enjeux delasécurité réseaux. Cesoutils ont atteint un bon niveau de maturité. En fonction des des accrue trèsfineetunesurveillance libre uneanalyse etpermettent existent outilssophistiqués Plusieurs En résumé… ilpeut des intervenants, remontéesnées Suivant parlesindicateurs. debord tableau apour rôlel’affi Le Synthèses desindicateurs actions, les personnes impliquées dansleurmiseenœuvre.actions, lespersonnes déployés pour atteindr d’action plans toute informatio y ajoutera rouge. On –feu orange –feu feuvert lisible, parexempleunesignalisation dutype comparés à l’objectif de sécurité qui desécurité àl’objectif comparés quion des indicateurs possible l’état tableaude bord doitfaire apparaît Le y avoir plusieurs niveau plusieurs yavoir dans untableaudebord chage synthétique de l’ensemble des don- del’ensemble synthétique chage a étéfixépourdonn désormais dans le monde du logiciel danslemondedudésormais t été définis. Ces seront indicateurs n utile telle que des pointeurs sur les sur que despointeurs telle n utile également un large bénéfice de l’uti- égalementunlargebénéfice détection d’intrusion génèrent une d’intrusion détection entreprise, il sera possible de baser la possible debaser sera entreprise, il rede lamanièresynthétique laplus e l’objectif, le budget alloué à ces alloué lebudget e l’objectif, des logiciels tels que le syslog ou que lesyslog tels des logiciels ématique de ces outils doit donc êtredonc doit ématique decesoutils peut vites’avérer indigeste pour les la taille de l’entreprise et le nombrele et l’entreprise de la taille x de tableaux de x detableaux bord. © Groupe Eyrolles, 2005 er uneinformation

chapitre 10

SOMMAIRE B Gestion centralisée des Identifier et authentifier ses utilisateurs est une fonction vitale comptes utilisateur B pour le système d’information. Trois outils de gestion Authentification et identification centralisée et d’authentification seront présentés : NIS, LDAP B Linux et authentification et Kerberos. B Network Information Service B OpenLDAP B Kerberos B Authentification et interopérabilité

MOTS-CLÉS B Authentification B Identification B PAM B NSS B NIS B LDAPDirectory Access Protocol) B Kerberos

© Groupe Eyrolles, 2005 Les Cahiers de l’Admin – Sécuriser un réseau Linux • • 210 T tificateur Unix tificateur Unix (UID) et unnomdecompte. fait lacorrespondanceuniden- système entre tème. Demême, ilyaidentification lorsque le identifiant sur la miredeconnexion d’un sys- tion. L’utilisateur s’identifie lorsqu’il saisit son gner l’identité sans aucune action de vérifica- Authentification Identification dation d’un certificat électronique. passe ou encore parlaprésentation etlavali- de mot un en fournissant réalisée souvent vice ou d’un ordinateur. Cetteopération est garantit l’identité d’un utilisateur, d’un ser- matique, l’authentification est l’action qui Identification etauthentification Identification : action quiconsiste àrensei- : dans lecontexte infor- eteàlanx B. àl’annexe sentée dans cechapitremise enœuvre pré- etleur seront etcomparés sera décrits répond quant à luiCesde une troissécurité. problématique forte produits de la robustesse pour beros, réputé le populairedans est particulièrement derépertoire tocol) est un service Unix.LDAPintégré ausystème plus (Lightweight Directory Access Pro- NI ce besoin. répondre à pour didats équipes techniques n’ont pasencore arrêté gestiond’authentification centraleet Tamalodoit adopter une solution répondrepour tech niqueà son besoinde travail. veurs etdespostesde création pénible de implique untravail parc. L’arrivée du utilisateur surl’ensemble comptes personne nouvelle d’une deladéfinitioneffet difficiledegarantirl’homogénéité des en devient lourde devient etinadapt systèmes, chacundes à utilisateur,comptes localement des c’est-à-dire traditionnelle nombreLe decollaborateurs de la société Tamalo étantenhausse, lagestion Gestion centralisée des comptesutilisateur Avec unenvironnement info L’authentificationmaillons est undes comprendre l’inconfort d’une situation situation d’une comprendre l’inconfort d’agir capables le déploiementd’outils problématiqueLa de lagestion des co Authentification etidentification acceptables. sécurité de conditions des dans tème Linux dusys- d’authentification aux mécanismes et pour l’intégrer teur centralisée deTamalosystème pourmettre en Nous étudierons danscechapitre lespo importants. plus sécurité de mécanismes souple descomptesutilisateuretproposant nécessairedevient dedéployer une gestion desoutilspour plus centralisée Dans unenvironnement pl d’exploitation, systèmes les dans base n’y Il comptes. déploiementde apas d’authentification estengénéral limi maiségalementennombretravail d’util us complexe, comme celui de la société Tamalo,la société de comme celui us complexe, il rmatique réduitàlafoisennombrermatique depostes dont l’implémentation libre OpenLDAPdont l’implémentation œuvre unegestion descomptes utilisa- S (Network Information Service) estle S (Network Service) Information ée à une vue unique et cohérente.vue unique Il à une ée spécifique et les mécanismes prévus de prévus et lesmécanismes spécifique des comptes utilisateur. Même sises tout particulièrement Linux,suffisent. essentiels du système d’information. système essentielsdu ses mécanismes d’authentification, sesmécanismes mptes utilisateur porte en général mptes utilisateurporte sur monde dulogiciellibre. Enfin,Ker- tée à la création de groupes et de tée àlacréationgroupeset de ssibilités offertes auxadministrateurs ssibilités offertes de manière centralisée. Il est aiséde de manière Il centralisée. isateurs, la mise en œuvre duservice où des dizaines, voire des centaines voire des dizaines, où des de compte sur l’ensemble des ser- de compte sur l’ensemble leur choix, trois logiciels sont can- © Groupe Eyrolles, 2005 © Groupe Eyrolles, 2005 Eyrolles, © Groupe nismes dechiffrement adap desméca- 4pourdétaillées une description au chapitre tion. Reportez-vous pour garantir lachiffrement de Des technologies plusoumoinsrudimentaires sontutilisées sécurité et la conf 10-1. cela estreprésenté surlafigure fonctionnement Son estbinaire, desidentités. comme fiable de vérification d’authentification système passe. Le a coutumedemanipu concrètement, on au mini c’est-à-dire tité dechacun, dansdesinform laquellesontassociées propos d’authentification Un système Le systèmed’authentification habilitées. personnes dûment férents de desystèmes contrôle d’accès donc auxdif- possibleetpermet entre devient eux.Unegestiondeprivilèges cette authentification réalisée,est il ressources les cherchedétourner que à que l’util garantit cation etc’ de votre voiture peuts’enservir ordinateur,êtredoit contrôlé.Pour seulledétenteurdesclés comparaison, L’accès à une ressource informatique, c’es ? Pourquoi authentifier centrale ou non. en lesutilisateursdusystème d’identifier données contenantde lesin nouvel utilisateur.néanmoins nefaut Il doiventêtrede postestravail reco isateur qui s’identifien’estisateur qui pasunusurpateur tés à l’authentification. formations et de comptes, quiestd’authentifier identialité dumécani est en général mieux ainsi.L’authentifi-est engénéral mum un identifiant etunsecret. Plus possible de différencier les utilisateurs nfigurés pour ajouter le compte d’un nfigurés pourajouterlecompte e unegestion des données utilisateur limiter l’utilisation des ressources aux l’utilisation limiter ations permettant de contrôler l’iden- contrôler de permettant ations doit égalementoffr pas oublier dele labase but principal ler un nom de compte et un mot de compte etun nom de ler un toute sécurité, quelagestion ensoit toutesécurité, vous avez mises en place. Une fois place. Une mises en vous avez t-à-dire à un service ouencore àun t-à-direun service à d’authentification Fonctionnement dusystème Figure 10–1 sme d’authentifica- ir un protocole tion sensible surunréseau hostile. évoluéepas letransfert n’impliquantd’informa- demande demot depassedemande ouune plus un mécanisme d’interrogation ditde Le protocole d’authentification utilise en général Ce Ce le système d’authentification et par l’utilisateur. une interrogation donnée n’est connue que par valider l’identité d’un utilisateur. La réponse à response challenge-response (question-réponse en français), pour T Challenge-response peut être une simple challenge- 211

10 – Gestion des comptes utilisateur et authentification Les Cahiers de l’Admin – Sécuriser un réseau Linux 212 Le fichier Le fichier/etc/group texte. nues dansquatre fichiers auformat auto moins un unsystème groupe. Sur sateurs sont identifiés par leurnom de à compteau etparleurappartenance Linux degestionutilise un système de Linux etl’authentification re-jeu). frauduleuseetle (luttecontel’écoute détournés lité d’être protocoles de communication réseau, do que lesprotocoles utiliséainsi ad d’authentification en d’authentification les informations souvent nécessaire est depr Il système. de détentionLa etl’utilisation etc.). L’authentification repose toujours sur Le fichier Le fichier/etc/passwd hmssprsprl aatr : » : « le caractère par séparés champs ligne correspond àun estelle-mêmecomposéede quatre groupe. Elle encore,composée dese une ligne •2 •2 •3 •1 •4 •3 •4 •1 whouse:x:1000:bill bin:x:1:root,bin,daemon root:x:0:root /etc/shadow GDo ru dniire nli); (GID ouGroup enanglais) Identifier e e e er e e e er champ : identificateur de groupe de pr :identificateur champ util numérique identificateur : champ champ : « x » si le mot de passe a de le mot »si x « : champ ». , « listedesutilisateursdugroupeséparésvirgules : champ système le sur uniquedugroupe numérique identificateur : champ ; » x « lettre : champ hm o ucmt ; nom : du compte champ ; nom : du groupe champ group passwd il opeetdscié; le compte »si estdésactivé * , « contient l’ensemble des groupes définis sur le système. Une desgroupessurdéfinis lesystème. contient l’ensemble contient les informations des comptes utilisateur. Là tcap éii ncmt : uncompte définit champs pt s comptes à la couleur Unix. Les utili- Les Unix. s comptesla couleur à ce secret sont du les phases critiques un secret (mot de passe, clé privée, secret un (motdepasse,clé la chiffrant. Demême,leprotocole chiffrant. la otéger labasededonnées contenant nome, ces informations sont sont conte- informations nome, ces ivent se prémunir contre lapossibi- mie(I uGopIetfe); imaireou Group (GID Identifier) ssocié est contenu dans le fichier stu UDo srIetfe); User (UIDou isateur Identifier) © Groupe Eyrolles, 2005 jacents,en général des un algorithme de type MD5,proposé. plusrobuste,en général est detype un algorithme Encryption Standard (DES) qui Linuxrécents, lessystèmes est utilisé. Sur Data irréversible chiffrer. l’algorithme c’est Unix, des systèmes laplupart Sur le pour utilisé l’algorithme suivant passe estvariable de dumot format Le dans le fichier lefichier dans À chaquecomptedéfini ». : « parlecaractère séparés champs composée de9 © Groupe Eyrolles, 2005 Eyrolles, © Groupe fichier Commepour lecontenudu authentification. son permettant mot depasse lapl l’information Ce fichiercontient Le fichier/etc/shadow •4 •2 •9 •5 •1 •8 •6 •5 •3 •7 •6 •7 bill:$1$D9RTYgpx$V8pxcCrFyRDPGHpmlMofe1:12487:0:99999:7::: bill:$1$D9RTYgpx$V8pxcCrFyRDPGHpmlMofe1:12487:0:99999:7::: bin:*:12487:0:99999:7::: root:$1$D9gthGPx$v7PXCcRfYrdpghPMLNaze0:12487:0:99999:7::: bill:x:1000:1000:Bill:/home/bill:/bin/bash bin:x:1:1:bin:/bin:/sbin/nologin root:x:0:0:root:/root:/bin/bash ind o epse; tion dumotdepasse ; changé ; changé jours depuis le1 1 ; passe e er e e e e e e e er e e e champ : champ réservé pour une utilisation future.une utilisation pour champréservé : champ : dateà laquelle le compte ex champ expira- : compteaprès nombrele dedésactiver deavant jours champ : nombre dejourspourla no champ :nombrepasse doitêtrede jours aprèslesquelslemot de champ : nombre de avantquelemotdepasse jours ne puisse être champ : date du dernier changement de mot de passeen nombre de champ ; : mot depasse chiffré champ enanglais). » shell decommandes(« interpréteur : champ ; anglais) en » homedirectory personnel(« répertoire : champ ; :description ducompte champ hm o ucmt ; compte nom : du champ ave 90; 1970 janvier passwd , chaquelignecorrespond àuncompteutilisateur. Elleest passwd er correspond une entrée dans le fichier ave 90; 1970 janvier ssnil ucmt tlstu :le us sensibleducompteutilisateur pire ennombre de jours depuis le tification d’expiration du mot de dumot d’expiration tification shadow : 213

10 – Gestion des comptes utilisateur et authentification Les Cahiers de l’Admin – Sécuriser un réseau Linux B B 214 http://en.wikipedia.org/wiki/MD5 http://en.wikipedia.org/wiki/ Data_Encryption_Standard R ÉFÉRENCES

DESetMD5 distributions Linux. Il est pour distributions lefichier Linux. Il shadow fichier suivant,lemotdepass Dans l’exemple Format chiffré dumotdepasse fichier,Un quatrième Le fichier/etc/gshadow acan ecrcèe « La chaîne de caractères Avec unchiffrement MD5, le format du 2 : type MD5 autre de Dans cetexemple,avecunalgorithme chiffré lemotdepasseaété ment MD5. La semence, chaîne de caractères « decaractères chaîne semence, La MD5. ment « Standard (DES) de la fonction qui a fourni le mot de passe crypté « crypté le mot depasse a fourni qui uq’upohi aatr « jusqu’au prochain caractère nistrateur dusystème. nistrateur autrecelui del’admi- puissent être uncompteque ne modifiéespar fichiers q primordial est Il autonome Linux. Ces quatre fichiers peuoupasutilisé, En général sont le cœur du du système d’authentification système bill: bill: H8amev19P3UQrFfHowctM/ Ensuite, l’algorithme utilisé pour chiffrer le mot de passe doit donner un résultat • La sécuritédumotdepasse B.A.-BA D’abord, la confidentialité du contenu dufichier • : éléments primordiaux différent. plus être possible d’obtenir une chaîne cryptée identique avec un mot de passe en appliquant un algorithmeinverse surlachaîne cryptéeetilnedoit pas non unique etêtre irréversible. Il ne doit pas être possible de retrouver le mot de passe être lisible que par l’administrateur de la machine. est caractéristique. La chaîne de caractères « La chaînedecaractères est caractéristique. Sécurité et robustesse dusy $1$T19w51$H8amev19P3UQrFfHowctM/ BDtcCCEJ.jUAM shadow a été chiffré avec unalgori a étéchiffré /etc/gshadow :9479:0:10000:::: BD stocké dans le fichier ». » est la semence du générateur pseudo-aléatoire générateur du » estlasemence saprésencepasseinaperçue. $ crypt .Vetefnl o epsecifé: enfinlemotdepassechiffré Vient ». stème d’authentification Linux d’authentification stème est également présent des sur laplupart ue les permissions d’accès du système de dusystème ue lespermissionsd’accès tcCCEJ.jUAM : e qui apparaît dans une entrée dansunee quiapparaît entrée tirée du group thme de type Data Encryption Data thme detype e :9479:0:10000:::: /etc/shadow champ d’une lignedufichier champ d’une /etc/shadow ce que ce T19w51 ». © Groupe Eyrolles, 2005 $1$ », suitcetteséquence shadow » indiquelechiffre- reposesurdeux . Celui-ci ne doit està passwd . «banana». 10-2 parexemple, lachaîne figure groupe danslesfichiers dedéfinitions des comptes. compte utilisateur oud’un s d’un oumodifient les attribut suppriment nviiqeqe xmls: En voiciquelquesexemples danger manuelle,parfois évite l’édition © Groupe Eyrolles, 2005 Eyrolles, © Groupe la mêmesemencequepour celui quiestcontenudans le fichier fication. Cemot de passe est alors chi L’utilisateur donnesonmot de passe, qui est transmis d’authenti- au système 10-2). (figure par motde simple passe est del’authentification principe Le Principe del’authentifi fichiers des contenu du manipulation LinuxRedHat,unjeu le système Sur Gestion descomptes utilisateur Les commandes commandes Les Si la chaîne obtenue est identique, lachaîneobtenuel’ Si orcérl opeuiiaer«b Pour« créerlecompteutilisateur • numé- » dontl’identificateur whouse Pour « créerlegroupe d’utilisateurs • • Changement du mot de passe du compte « bill » et modification de modification et » bill « du compte passe de mot du Changement • # passwd bill bill # passwd bill whouse -g 1000 -u # useradd -g1000 whouse # groupadd iu s 00: est rique 1000 l’entrée correspondante danslefichier l’entrée : » whouse est« groupedont le d’appartenance userdel , usermod cation parmotdepasse cation , groupdel authentifié. Sur la alors authentifié.Sur utilisateur est passwd cryptée correspond aumotdepasse cryptée ffré en utilisant le même algorithme et ffré enutilisantlemêmealgorithme ill » dont l’identificateur est 1000et dontl’identificateur » ill euse sur desfichiersaussicritiques. de commandes enlignefacilitela shadow , group et . groupmod , shadow et respectivement gshadow /etc/shadow . Ceci . Principe del’authentification Principe Figure 10–2 215

10 – Gestion des comptes utilisateur et authentification Les Cahiers de l’Admin – Sécuriser un réseau Linux B 216 http://www.kernel.org/pub/linux/libs/pam/ R ÉFÉRENCE

PAM Linux PAM Fonctionnement PAM Figure 10–3 PAM lerépertoire contenus dans sont Linux utiliséepar distribution la Sur dePAM. modulaire tionnement fi La encore recompilation desservices. changeables sansquecelanécessite LDAP rendant etKerberos, ainsilestr relatives aux comptesutilisateur. De les informations gérées seront manièredont dela tement indépendante standard etnormal interface sant une de configuration qui sert d’aiguillage d’aiguillage qui sert de configuration Parentification. fichier le d’auth de teloubiais tel système d’un l’utilisation à l’application rendant transparent modulaire très defonctionnement mode PAM,Modules,Authentication propose un dePluggable quiestl’acronyme Linux etPAM Contenu du fichier de règlesPAMfichier de Contenu du /etc/pam.d/system-auth toire estprésenté de dépendancecommecela ( d’authentification. auth auth required /lib/security/$ISA/pam_deny.so required auth likeauth /lib/security/$ISA/pam_unix.so sufficient auth /lib/security/$ISA/pam_env.so required auth run. is authconfig time next the destroyed be will changes User # auto-generated. is file This # #%PAM-1.0 , /lib/security account , password contient les modules PAM proposés par les systèmes et session ), un module est associé avecunniveau ), unmoduleest et debibliothèques isée, l’application sera rendue complè- sera isée, l’application unequelconquereconfiguration ou s modules PAM existentpourNIS, Tamalo, lesfichiersconfiguration de ois systèmes d’auth ois systèmes ue10-3 présente lemode de fonc- gure dans l’exemple qui suit. Le réper- quisuit.Le dansl’exemple /etc/pam.d . Pour. chaque méthode © Groupe Eyrolles, 2005 dynamiques propo- dynamiques entification inter- entification ce contexte que NIS a retenu l’attention des administrateurs de Tamalo. de administrateurs des aretenul’attention queNIS ce contexte dans point uniqueestdonc possible.C’est d’un descomptestration àpartir change. Elle n’est plus locale, mais co source des informations utilisées pour source utilisées informations des la resteprésenté précédemment.Seule à celui passe chiffré identique mot de d’ protocole Le du réseau. machines Le fichier correspondance eninterrog © Groupe Eyrolles, 2005 Eyrolles, © Groupe shadow redistribution des informations d’exploita système tification d’un d’authen- mécanisme une extension du NIS est SUN société Microsystems, parla Développé de Network Service. Information NIS est l’acronyme NIS - Network InformationService Extraitfichier /etc/nsswitch.conf du /etc/hosts IPpeut dance nom de machineet adresse qu’ennommage,source. quelle vices desoitleur Par exemple, lacorrespon- Linux ausystème bibliothèques servant Name Service Switch, aussi connu sous NSS,estunensemblede l’acronyme Linux etNameServiceSwitch locale dans les fichiers du répertoire danslesfichiers du répertoire locale DNS. définiti De même,la rogation item particulier. des sourcestient ladescription à cons hosts: files dns files hosts: nis files group: nis files shadow: nis files passwd: /lib/security/$ISA/pam_unix.so required session /lib/security/$ISA/pam_limits.so required session /lib/security/$ISA/pam_deny.so required password shadow md5 /lib/security/$ISA/pam_unix.so sufficient password retry=3 /lib/security/$ISA/pam_cracklib.so required password /lib/security/$ISA/pam_unix.so required account d’une machine de référencede serv machine(le d’une /etc/nsswitch.conf sur le système Linux, mais sur lesystème ég eant un service degestion tel que NIS.centralisé eant un service , dont un extrait est dont unextrait , contenues danslesfichiers tion Unix. NIS permet tion notamment la Unix. NISpermet /etc ulterpour obtenir l’information surun nsultée à leréseau.L’adminis-travers on des compteson utilisateurpeutêtre authentification par comparaison de parcomparaison authentification la base de donn de base la pour interroger lesdifférents ser- alement enprocédant àuneinter- , mais il est possible de trouver estpossible la , maisil être trouvée dans lefichier texte eur maître NIS), à l’ensemble des eur maître NIS), à l’ensemble présenté ci-après, con- présenté ci-après, ées des utilisateurs passwd , group et B composants NIS de sources différentes. gène etpermettant l’interaction avecd’autres ciel mature utilisable en milieu système hétéro- plateformeaujourd’huiIl s’agit Linux. d’un logi- du systèmeNISsurla du portage està l’origine Legroupe NIS, Linux comme sonnom l’indique, http://www.linux-nis.org R ÉFÉRENCE

NISpourLinux 217

10 – Gestion des comptes utilisateur et authentification Les Cahiers de l’Admin – Sécuriser un réseau Linux 218 Architecture d’un domaine NIS domaine d’un Architecture Figure 10–4 eto Gestion des comptes utilisat section « maître aveclescommandesstandardsprésentées àla sées que sur leserveur dans les fichiers locaux locaux lesfichiers dans utilisateur. Cette basede données, modi delabase deréférence comptes de données des détient lacopieoriginelle fonctionnement de lemodèle Dans Fonctionnement read-only Les serveurs esclaves nedisposent que esclaves serveurs Les 10-4). (voirfigure tification aux machines de clientes cedomaine de lamême communauté NIS(le domain est l’indexation, permettant format oules cartes (les » NIS « format un autonome. Uneconver serveur vail ouun B group informationsconfiguration de diverses contenues par exemple danslesfichiers pourPrévu redistribuer au annuaire téléphoniquepapier,son NISaétédéveloppé par lasociétéSUNMicrosystems. vice àcause delamarque déposée delasociété United Kingdom ofBritishTelecompour Initialementconnu souslenom deYellow Pagerenommé puis Network Information Ser- H unique. nombreux sitesd’administrer l’ensemble descomptes utilisateurpoint àpartird’un rendu très populaire par sa simplicité d’utilisation. Ce système permet aujourd’hui à de ISTOIRE http://fr.wikipedia.org/wiki/NIS

NetworkInformationService , en anglais), de la base de donn base anglais), dela en services , networks passwd x machinesd’unemême communauté des (ledomaineNIS) , ouencore group ensuite propagée à des serveurs esclaves ensuite propagée à desserveurs « maps » NIS en anglais), en général un anglais), engénéral NIS en » maps « et nécessitant cesinformationsd’authen- u ».Après du contenu modification eur proposé par NIS, un serveur maître unserveur NIS, proposé par d’une versionen lecture seule(RO ou d’une fiable, est tout simplement contenue simplement tout est fiable, shadow ées. Les modifications nesontréali- modifications Les ées. sion ducontenudansdefichiers ces hosts e NIS) et redistribuée e NIS)etredistribuée sur le réseau comme pour unpostedetra- comme pour durépertoire © Groupe Eyrolles, 2005 /etc , NIS a été passwd , «maps» l’exemple quisuit. l’exemple comme celaestprésentédans esclaves versionserveurs nouvelle aux sous-répertoire portant le nom du domaine NIS du répertoire répertoire NISdu nom dudomaine le portant sous-répertoire Toutes les relativesinformations àun domaine NIS sont contenues dansle : numériques © Groupe Eyrolles, 2005 Eyrolles, © Groupe quecelui de aussicritique l’au système charge etde redondance.l’ En effet, ilaétéprévudans point central, une gestion delaba En plusd’offrir Répartition decharge etdisponibilité commande La final. NIS, laprésentationavec de sateur Même de s’ilyaconversiondeformat labasededonnéesutili- comptes des Affichage desin des fichiers deréférence visualisation du contenu du fichier contenu dufichier du visualisation probablementil serait suivant, l’exemple La commande commande La • Conversion du contenu desfi contenu du Conversion • avec » bill « del’utilisateur Ajout • bill:aaTHidUEku7:1000:1000:Bill:/nfs/home/bill:/bin/bash passwd.byname bill # ypmatch hexagone:x:1001: whouse:x:1000: group # ypcat # make /var/yp # cd successfully updated tokens authentication all passwd: password: new Retype password: New bill user for password Changing bill # passwd bill whouse -g 1000 -u # useradd passwd ypcat et ypmatch ypmatch group affiche le contenu d’une ca affichelecontenud’une formations contenuesdans lesmaps NIS passwd , sont indexéesparnomsetidentificateurs , ehrh asue«mp»NIS indexée.Les » map recherche dans une « , hespase as»NS: NIS » maps en« chiers plats shadow /etc/group NIS des mécanismes de répartition de derépartition NIS des mécanismes lscmadssadrsd ytm : les commandes standards dusystème s données peu change pour l’utilisateur utilisation d’un service réseau pour un service utilisation d’un se de données utilisateur à partir d’un se dedonnéespartir utilisateur à thentification nécessiteunedisponibi- thentification et difficiledefaire ladifférencela avec group : rte NIS toute entière. NIStouteDans rte , il convient de propager la /var/yp . domaine si domaine du cedernier.elle dispose nom de N’importe quellemachine peut rejoindre le propagées parunserveur maître etses esclaves. de machines partageant les mêmes informations Le domaineNIScorresp T LedomaineNIS ond à une communauté 219

10 – Gestion des comptes utilisateur et authentification Les Cahiers de l’Admin – Sécuriser un réseau Linux 5 il oaeetefcu u octet). 255 sile codage est sur1 effectué 1 (valeur décimale dans le à réseau positionnés adressede lapartietous desmachines lesbits actif). Cetteadresseala particularité d’avoir quelles leservice auquel s’adresse la requête est réseauconnectéesde machines au(surles- y aura donc autantde réponsesà larequête que reçue parl’ensemble desmachines du réseau.Il requêteenvoyée àl’adre l’ensemble desmachines de ce réseau. Une IP d’un réseau qui désigne est l’adresse pirates à compromettre les comptes utilisateur. trouvermot un depasse, et doncla capacité des pour nécessaire la dépend durée ordinateurs meilleurs résultats. De la puissance actuelle des l’attaque pardictionnaire pour obtenirde Cettes méthode est des clés suffisamment grandes. conséquente avec unecomplexité importante ou de choisir desmots de passe d’unelongueur Pour contrer cette attaque, il suffitsimplement constitué depeu de caractères. que dans les cas oùle mot depasse cherché est de recherche exhaustivenemarche méthode toutes les combinaisons possibles. Cette Il s’agit de tester,une clé. passe ou à une, une lisée encryptanalyse pourtrouverun mot de L’attaque par forcebrute est une méthodeuti- L’adresse dediffusionouadresse de 220 T T tau rt oc » force brute « Attaque Adresse dediffusion ou broadcast ouvent combinée avec sse de diffusion serasse dediffusion broadcast , configuration de les fichiers dans le serveur sur àdéfinir consiste oubliée, vent serveur. parun La mations distribuées rejoindre undomainesielleenconnaî Pire encore, n’importe NIS peut machine configurée quelle enclient éprouvée.pas assez quelques dontseraitmots depasse pour larobustessedécouvrir » ne force brute « detype » crackage tées desmotsdepasseetutiliserunoutil« récupérer chaînescryp- réseaupourra les trafic le capturant Unpirate ment. Tout lesinformations sontre d’abord, candidat. déploiement. Suivant le niveau de sécurité souhaité, NIS sera ou non le bon dontquelques défautsmajeurs il faut n’étaitsécurité pas lapréoccupation avec toujours pas nerime Simplicité Limites dusystèmeNIS (démon Pour rejoindreun domaineNIS, sonêtre nomdoit connuparleclient Rejoindre undomaineNISettrouver sonserveur veur NIS. ment deremédier àladisparition d’ répartirlacharge induitepar lesreq àlafoisde permet àplusieursserveurs architecture Cette maximale. lité servent ensuite à sélectionner le serveur à interroger : : àinterroger ensuiteàsélectionnerleserveur servent permet permet à une personne malintentionn serveur dans larecherche d’un d’authentification manque demécanisme Le B. àl’annexe décrite sera les requêtes duquel sontpossibles.Cetteconfiguration à partir sage réseau À ce mode de configuration trèsso • • La première consiste en un mécanisme d’interrogation par première d’interrogation mécanisme La consiste enun • le client NIS.le client est appeléeassociationCette opération ou chargé, requête,le moins engénéral Le ledomaine choisi. pour ponibles dis- requête estenvoyée la liste des sur leréseaupourdéterminer serveurs mettreune requête derecherche trouver pour unautre serveur. vena ceserveur d’aventure Si anglais. fichier de configuration configuration de fichier tique. Eneffet,uneliste de serveur ypbind /etc/ypserv.conf ) qui s’exécute sur le système d’exploitation. Deux méthodes Deux d’exploitation. ) quis’exécutesurlesystème /etc/yp.conf et /var/yp/securenets uêtes des machines clientes, maiségale- machines clientes, des uêtes une machine qui officierait comme ser- une machinequiofficierait sécurité. NIS,conçu à sécurité. une époque oùla principale des développeurs, souffre de desdéveloppeurs, principale être conscientavantdeprocéder àson ée deconfigurer unemachine en ser- distribuées sur leréseausanschiffre- distribuées t lenometdonc récupérer lesinfor- uple existe une alternative plussta- uple existeunealternative premier serveur qui répondàcette premierserveur seule restriction possible,seule restriction trop sou- est alors choisiest commeréférent alors par s connuspeut être dans le décrite du client NIS. duclient it àdisparaître,suffirait il de réé- © Groupe Eyrolles, 2005 , l’intervalle d’adres- , l’intervalle broadcast binding . Une en compte et le mot de passe de son choix. de sonchoix. depasse mot et le compte avecle se connecter de surlamachine client diffuserait quiles celui alors à d’authen fausses informations machine dupirate.De © Groupe Eyrolles, 2005 Eyrolles, © Groupe et forLDAP methods Service UsingNetworkInformation LDAPasa danscette basededonnéescomptes aux RFC2307( satisfait descompte base dedonnées originelle Dans lemodèle proposé par OpenLD Fonctionnement etc. phone, des comptes Unix,commedes adresses supplé d’informations ajouter des types entre machines.Son schémadebase est utilisépourrépondre auxbesoins de OpenLDAP, Linux, le système implém permettreune gestion etun centralisée de NIS,À l’instar LDAP estutilisé da requêtes delecture. simples à ciés car mettre enœuvre et annuaires LDAP Les appré- très sont d’information. autretype tout stocker utilisateur lescomptes sur informations des stocker pour utilisés sontengénéral Cesderniers d’annuaires. services LDAP est unprotocolaussi et surtout Access Protocol. Directory Lightweight de l’anglais LDAPest l’abréviation -LDAP Lightweight Directory AccessProtocol broadcast domaine ex NISavecunnomde veur l’utilisation deLDAP, tout comme NIS, classi authentification En utilisantune leserveur. imposées par d’accès règles sont possiblesdepuis n’importe quelle L’interrogationLDAP et serveur d’un plat lesfichiers pour convertir LDAP, Desoutilssont ce qu’on communément proposés leschéma. appelle Plus simplement, lesinformations simplement, Plus Posix. norme àla répond alors shadow pour s’associer à unserveur,s’associer pour peut retrouvent leuréquivalentdans ). La description descompte ). La description s dans leur équivalantLDAP.leur s dans contenues danslesfichiers e standard decomm que parmot de passe, une foisencore, la modification desdonnéesqu’il gère machine dumachine réseau ayant satisfait aux partage des informations de comptes partage ns le système d’authentification pour d’authentification ns lesystème , mais peuvent également servir pour , maispeuventégalementservir istant. Un client configuré enmode configuré client Un istant. partage descomptesutilisateur. partage Sur optimisés et performants pour des pour optimisés etperformants mentaires à la gestion traditionnelle gestion la mentaires à AP, un serveur principal détientla principal AP, unserveur est transparente aux applications du auxapplications transparente est de données peutêtrede étendupour s utilisateur. deces description La électroniques, desnuméros detélé- entation libre d’un serveur LDAP, serveur entation libre d’un la structure debasedonnées lastructure en pratique décider de choisir la choisir de décider enpratique s utilisateur etdesgroupess ) et2829 ( tification permettraient tification unication pourles unication An approach for Authentication passwd , group B : bles pour la plupart sur lesite breuses RFC(Requestsfor Comment), disponi- l’objet d’une description détaillée dans denom- Le protocoleLDAP etsesextensionsontfait B comptes utilisateur. partage des informations ayant trait aux des logiciels lesplus utilisésdans lagestion etle populaire dans l’environnementLinux,ilestun d’accès conforme àla normalisation LDAP. Très un protocole offrant d’annuaire serveur d’un OpenLDAP est une implém http://www.mozilla.org/directory/ http://www.openldap.org standards.html R ÉFÉRENCE

LDAP et normalisation O UTIL

OpenLDAP entation Open Source 221

10 – Gestion des comptes utilisateur et authentification Les Cahiers de l’Admin – Sécuriser un réseau Linux 222 Exemple d’ACL OpenLDAP ce qu’ils ont ledroit devoir. correctement auxutilisateursdevoirque positionnées nepermettent d’accès Avec LDAP,est mieux cettepossibilité ture à l’ensemble dela base de donn sateur. deNISparexemple, Danslecas de machines, ou del’ensemble machine mations de la base LDAP. L’accès est notamment contrôléau niveau de la finement lesopérations delecture, d’ Control List ou ACL, Access Control (Access decontrôle d’accès évoluésdegestionlistes Des mécanismes pirate. serveur frauduleuse tent lasensibilité à l’écoute le serveur, limi- que d’authentifier ainsi et client, réseau entre serveur trafic de possibilités »).Les SSL SSH et avec Chiffrementcommunicationsdes 4« SSL (voirchapitre couche sécurisée LDAP estunprotocole réseaudisp LDAP etlasécurité tenu des fichiersplatsdu répertoire Contrairement àNIS,donn labasede utilisateur.comptes afinderécupé phases d’authentification modulePAM Le système. associé inte des copies de la base de données origin dedonnées base dela copies des Dans lemodèleproposé LDAP, par nedétiennentque réplicas lesserveurs Limitation dusystème LDAP char dela unerépartition pour offrir exister enplusieursexemplaires. Plus d’authentification, c’est-à-dire la base Parsu deréplication desmécanismes Répartition decharge etdisponibilité pendante. access to * by * read * by * to access attr=userPassword to access by * auth * by write self by /etc ées, y compris lesmotsdecryptés. passeées, ycompris ge et un service tolérant à la panne. à la tolérant ge etunservice écriture et de modification desinfor- écriture etdemodification r différents serveurs, lesinformations différentsr serveurs, ées LDAP peutêtre dissociéeducon- de données des utilisateurs, peuvent dedonnées des utilisateurs, ale. Même si ces co ces Mêmesi ale. ieurs serveurs sont ainsi disponibles serveurs ieurs osant d’une implémentation sur la osant d’une et le risque d’utiliser les services d’un lesservices d’utiliser et lerisque tous les utilisateurs ontaccèsenlec- les tous rer les caractéristiques de chacun des dechacun rer lescaractéristiques , et donc être gérée de manière indé- Item ou ACI), de permettent gérer rrogera le serveur adéquatlors des rrogera leserveur mais également au niveau de l’utili- niveau mais égalementau chiffrertout le systématiquement contrôlée. Des listes de contrôlecontrôlée. Deslistes © Groupe Eyrolles, 2005 pies en pies sont nepas Stockholm. ldap.conf Même s’il est non sécurisé, le mécanisme de découverte des serveurs NIS par Mêmedes de serveurs s’ildécouverte estnon le sécurisé, mécanisme base dedonnéesLDAP. des outils propres pour lagestiondes comptes etmanipuler lecontenu dela tion quotidiennecomptes des utilisateur d’un système d’authentifi système d’un ma quedesopérations ne permettent © Groupe Eyrolles, 2005 Eyrolles, © Groupe n’y Il apasderela d’authentification. qu’elle contientsont pr réduites et nous la connaissons avec NIS ou encore avec LDAP. informations Les n’estKerberos donc pasunebase de donnéescomptes utilisateur telle que applicatif. Labase de données uncompteutilisateurouserveur général » représente en principal associée. privée Ce « clé » et d’une principal « gère Kerberos unebasededonnées decouples composés d’un serveur Le Fonctionnement Technology dupr etcelle sont le mondeOpen Source sées dans mature. Deuxim plus la certainement versions duprotocole Kerberos Plusieurs alorsd’esclaves. parle ;on copiedela base dedonnées d’authentification veurs disposant d’une maître d’authentifi ultime. Ceserveur angl en Controler Domain ou Kerberos KDC domaine, de contrôleur le Kerberos, modèle le Dans d’identité. pation dangereux, notammentparce qu’il estle et sur le postulat queleréseauestnonsécurisé estconstruit Il partagées. clés est unprotocoled’authentifica Kerberos Kerberos broadcast fichiers plats des Mêmesi généralement. plus Unix LDAP n’est pas aussi intégré que certainement Linuxou NIS au système cipal etpropagéesensuiteauxréplicas. lecture seule, nedoiven les modifications nom des serveurs doit apparaître dans le fichier de configuration deconfiguration apparaître dansle fichier doit nom desserveurs Avecsur lesclients. LDAP, uneconf esttrèsséduisant.Aucune configuration spécifiquen’estnécessaire . passwd et group ojet Heimdaldel’Institut cation traditionnelà LD accompagnent la distribution accompagnentOpenLDAP, la distribution ils tion entre système d’authentification et tion entre d’authentification système opres au fonctionnement du système du au fonctionnement opres cation peutêtrecation secondé pardesser- iguration statiqueestobligatoire.iguration Le plémentationscette versiondiffu- de ssives utilisées lors celle duMassachusettsInstitute of celle outils deconversion du contenu des . Il est alors nécessaire estalors dedévelopper . Il lieu d’écoute frauduleuse etd’usur- frauduleuse lieud’écoute ont vu le jour. La version 5 esttrès 5 ont vu jour.le version La tion réseau basé sur l’utilisation de tionl’utilisation réseaubasésur t être faites que sur le serveur prin- t être faites que surleserveur ais, est l’autorité decertification est l’autorité ais, AP et non pour une ges- AP etnonpour Royal de Technologie Royal de de d’une migration d’une /etc/ serveur applicatif. peutêtreun compte utilisateur ou encore un » principal authentifier. Plusconcrètement, un « Kerberosserveur unique quele une entité peut »enanglais,correspond à principal « sujet, Le TAMALO.COM. majuscules,domaine DNSen parexemple »est en général un nom de realm tion. Ce « d’authentifica- données basede geant lamême ensemble deserveursKerberoslemême parta- nauté dessystèmesutilisant le mêmeserveurou terminologie Kerberos, ilreprésente lacommu- domaine. un appelé Dansla communément plus »,est realm Le royaume, traduit del’anglais « B B du MIT,Microsoft avecle système Windows. majorité dessystèmes Unix et même, pour celle Source. Ellessont compatibles avec la Open en disponibles sont (KTH) deStockholm logie (MIT)et l’Institut Royal deTechno- Technology pectivement par leMassachusetts Institute of proposées 5 res- Deux distributions deKerberos http://www.pdc.kth.se/heimdal/ http://web.mit.edu/kerberos/www/ T ERMINOLOGIE O UTILS

DsrbtosKreo 5 Kerberos Distributions

«ram»e rnia » principal »et« realm « 223

10 – Gestion des comptes utilisateur et authentification Les Cahiers de l’Admin – Sécuriser un réseau Linux 224 transmission dumotdepasse transmission Authentification sans Authentification Figure 10–5 d’authentification Kerberos. Cette te d’authentification utilisantlesmécanismes »,c’est-à-dire kerberisé « service d’un auprès teur une manière ét simpliste,nismes Kerberos assez les méca sans quecesecret partie par l’autre permetta mécanismes ties, ilexistedes par- parlesdeux mesurede passeestpartagé la oùlemot Dans classiques. plus comme pourdessystèmes celaestlecas tème d’authentification sonmot de passe jusqu’autifier unutilisateurquecelui ci fasse sys- parvenir passe n’est n’ transmis surleréseau.Il le à aucunmomentdans De plus, leuse. communications par exemplesont chiffr àtouslesniveaux.Les des techniquesdecryptographie Kerberos utilise Kerberos etlasécurité tionnalitésauthentification etidentification sont indépendantes. deuxfonc- Les exemple. UID par un le système, sur définition locale d’une serveur authentifiéauprèsdu d’être sur un système locale identification peut êtrependant to utilisé pendant un valable vreraccréditation une Avec après uneauthentification Kerberos, » Single SignOn Authentification uniqueou« d’authentification, lerésultatcomp sera par le serveur Unefoisdécrypté d’authentification. retourné auserveur déchiffré. résultat Le seraré-encry nombrealéatoirement,un tiré quele un challenge, danscet exemple envoie auclient d’authentification serveur Le unutilisateur évolués, d’authentifier ute saduréedevalidité si rnms afgr 10-5présente La figure transmis. soit sans luidemandersonmotdepasse. pté avec la clé partagée avant d’être partagée pté avec laclé est en effet pasnécessaireest eneffet pourauthen- chnique permet d’utiliser un mot de d’utiliser chnique permet d’exploitation donné. Il est possible est donné.Il d’exploitation Kerberos sanspourautantdisposer aré et le client authentifiéounon. aré etleclient s phases d’authentification lemotde s phases d’authentification nt de vérifier la détentiondu secret client incrémentera aprèsl’avoir incrémentera client ées et évitent ainsi l’écoute fraudu- ées et évitent ainsil’écoute e durée limitée : le ticket. Ceticket le ticket. : durée limitée e réussie, l’utilisateur sevoitdéli- réussie, l’utilisateur pour authentifierlepor- © Groupe Eyrolles, 2005 ant nettementplus © Groupe Eyrolles, 2005 Eyrolles, © Groupe lesy pour choisis outils des administrateurse systèm restent Les dictésparunepossibleouverture. desmachines Même sil’environnement Interopérabilité geable danstouteslessituations. peut être considéréecommelourde etn’estd’authentification pasenvisa- incohérence. toute Cette gestiondusystème annexe, d’éviter afin l’annuaire de bases différentes des l’homogénéité nécessaire demettr est alors tratif. Il lisés encomplément pour distribuer nom de groupe. DeslogicielstelsqueNISetLDAP doivent être uti- – GID tème, parexemple permettant laco »dupoint devue sys- administratif gestion des informations à caractère « tocoles et des d’authentificati mécanismes En effet, Linux. surlesystème derniers sys- un tème degestioncomptes utilisateur déployer devoir de besoin au heurte se Kerberos de œuvre en mise La Limites dusystèmeKerberos commande La ». On Sign Single « anglais estappeléeen information, d’ dusystème desservices l’ensemble utilisantuneseuleauth Un mécanisme obtenu pour lesphases d’authentificati Kerberos ticket le unepremièrepasse (lesecret partagé) fois,puisd’utiliser rairela phas Kerberos, obtenulorsde dows, l’intégration peut être peut plus ardue. dows, l’intégration Microsoft Win- Unix. desdes systèmes Dans lecas systèmes quasi majorité Pour NIS,la sur estréaliséesansdifficulté LDAP l’intégration Kerberos, et d’exploitation. avec unautre système renew until 05/20/05 10:44:31 05/20/05 until renew krbtgt/[email protected] 20:44:31 05/09/05 10:44:31 05/09/05 principal Service Expires starting Valid admin/[email protected] principal: Default FILE:/tmp/krb5cc-0 cache: Ticket # klist klist permet d’afficher le ticket, cette accréditation tempo- le ticket, d’afficher permet stème d’authentification do stème d’authentification rrespondance UID – nom de compte et nomdecompte – rrespondance UID e en œuvre garantissant desmécanismes ’uhniiainprmtd as : parmotdepasse d’authentification e ces informations à caractère àcaractère adminis- ces informations données, celle de Kerberos et celle de etcelle Kerberos de données, celle on suivantes auprès d’autres services. on suivantesauprèsd’autres Kerberos selimiteàfournirdespro- Kerberos deTamalo choix esthomogène, les entification par mot depasse pour externe pour l’identification deces pourl’identification externe on très sécurisés. Il n’assure Il on trèssécurisés. pasla ivent pouvoirêtre utilisés B courants commeLDAP NIS. et ment lesmodulesd’authentification lesplus remplacement à GINA chargeant dynamique- propose unebibliothèquede Le projet pGINA remplacée. que cettebibliothèquedynamiquepuisse être l’éditeur delogiciels. Néanmoins,aété prévu il moyens d’authentification que ceux prévus par possibilité d’êtreinterfacéeavecd’autres 2000/XP. Soussaforme native, GINAn’aaucune fournie parMicrosoft pour sessystèmes NT/ tion) est la bibliothèque d’authentification GINAAuthentica-Identification (Graphical aNd http://www.pgina.org R ÉFÉRENCE B.A.-BA

pGINA GINA 225

10 – Gestion des comptes utilisateur et authentification Les Cahiers de l’Admin – Sécuriser un réseau Linux 226 teur universel, teur universel, maisun d’authentifica n’existeIl pas unservice En résumé… surlepostedetravail. de l’utilisateur aura configuré pourl’authentification PAMde sousLinux.pGINAle utilise fonctionnement Son Windows. estsemblable à celui utilisée surlessystèmes deGI alternative àl’utilisation une d’authentificati tèmes dans leschéma Open Source du nom depGINA, offre Windows.versions dusystème Pour pour lesdifférentes leMIT est proposéepar deKerberos Une distribution comptes utilisateur propres à sa structure dedonnées. propresutilisateur à sastructure comptes dans la réside nécessité certainement de développer des outilsde gestionde baseuniquedescompte gestion d’une LDAP semble être unbon candidat à plus deet sécurité de souplesse dans la supplémentaire.niveau decomplexité représente un d’exploitation système base dedonnées annexe pour l’identi lourd àgérer. enfaitunoutilparfois sécurité nécessitédeluiadjoindre une La estsanscontexteleplussûr Kerberos peut être heureusement limi l’étendue dont sécurité àla lacunesliées il pèchenéanmoinspard’importantes Unix, leplushomogèneetintégréausystème NISsembleêtre lesystème Si évaluerleslimites. d’en et l’outil réseau, debienmaîtriser des besoins différents. convient, Il co grand nombre de solutions nombre desolutions grand NA, labibliothèqued’authentification on d’un système Windows. pGINA Windows. système on est d’un mme pour mme pour toutdéploiement de service tée au domaine du réseau local. tée audomaineduréseaulocal. fication des comptes utilisateur sur le descomptesutilisateursur fication tion etde gestion des comptesutilisa- NIS et LDAP, NISet développement un des trois systèmes étudiés, maiscette des trois systèmes module que l’administrateur système module quel’administrateur s utilisateur.principal défaut Son la possibilité d’interfacer cessys- d’interfacer la possibilité plus oumoinsadaptéesà © Groupe Eyrolles, 2005 Infrastructure à gestion de clés : création de l’autorité de A certification de Tamalo.com

Les techniques de chiffrement décrites au chapitre 4 permettent d’assurer la RÉFÉRENCE Infrastructure à confidentialité des échanges électroniques. L’utilisation de bi-clés (clé gestion de clés du CNRS publique/clé privée) pose le problème de la gestion des clés publiques. En http://www.urec.fr effet, comment être sûr que la clé publique présentée correspond bien à la rubrique IGC Infrastructure à gestion de clés. personne ou au service voulu ? Cette problématique est celle que résout une Infrastructure à gestion de clés (IGC), Public Key Infrastructure (PKI) en anglais. Les aspects organisa- tionnels de la création d’une IGC peuvent être très complexes, souvent largement plus que les aspects techniques traités dans ce qui suit. En effet, les protocoles utilisés pour autoriser la délivrance d’un certificat électronique à une personne ou à un service vont influer directement sur la confiance que l’on pourra accorder aux certificats ainsi délivrés. Qu’est-ce qu’une bi-clé ? Les techniques de chiffrement asymétrique Cette annexe donne la démarche pratique pour la création d’une Autorité de décrites au chapitre 4 reposent sur l’utilisation certification (AC), Certification Authority (CA) en anglais, pour la société d’algorithmes mettant en jeu des couples de clés Tamalo.com. Cette AC permettra de signer des certificats (voir au composés d’une clé publique et de sa clé privée chapitre 4) pour des utilisateurs ou des services. On donnera un exemple associée. Ce couple est communément appelé pratique d’utilisation des certificats ainsi concus, pour authentifier un utili- «bi-clé». sateur voulant signer un message électronique, ainsi que pour authentifier un serveur HTTPS.

© Groupe Eyrolles, 2005 Les Cahiers de l’Admin – Sécuriser un réseau Linux hpte4. chapitre possesseur de la clé privéeassociée. Voir au authenticité.l’identitépermet degarantir du Il certification) nécessaire àlavérification deson sceau (lasignatureélectronique de l’autorité de également la clé publique de l’utilisateur et un dité, et surl’organisme d’émission.Ilcontient prénom, adresseélectronique,etc.), sursavali- administratives sur son propriétaire (nom, carted’informations d’identité, unensemble Unun certificatcontient, passeport tel ou une B B : vous pour sont commande, cesréférences ligne de la -allergique à –unpeu vous êtes Si B Des outilspourdé RÉFÉRENCE 228 http://idx-pki.idealx.org http://www.cryptonit.org/ http://www.openssl.org pour le côté serveur. côté le pour clients. logiciels pour les deOpenSSL officiel le site T

Certificat électroniqueCertificat ployer une IGC une ployer acéto e etfct .0 opedlséae uvne : X.509comprend création La des certificats lesétapessuivantes Pour unesous-commandesur d’ l’aide obtenir de électroniques. gestion descertificats opérations toutesles d’effectuer mettant Les trois bi-clés calculées sontenregistréesles fichiers dans calculées troisbi-clés Les 3DES. Cespa dées avecl’algorithme sont enco- bits.Elles Par produitesontune longueur de512 défaut,lesclés A-1. figure la machine, sont créés aveclacommandemachine,sont créés unutilisateurouune RSA decertification, pour une autorité bi-clés Les Bi-clés RSA commande La Création descertificatsX.509 personnelsdélivrer oudeservices. descertificats vous trouverez lescommandes OpenSSL dans le utilisés descertificats lation outils propose unjeudecommandes comp nombgrand surun tèmes Linuxetportée Layer) et TLS(Transport LayerSecurity Sockets OpenSSL estuneimplémentationlibre deSSL(Secure etgratuite OpenSSL etlesIGC pour de l’autorité certification, nouz: invoquez commande : : commande estpossibledevisualiserlescoup Il etDelaunay.ment pourlesutilisateursBoutherin • signature des certificats des utilisateurs et des services par l’AC. par services et des utilisateurs des certificats signature des • ; services et des utilisateurs des certificats création desdemandesde • ; des utilisateursetdes création services des bi-clés • ; del’AC signature ducertificat • ; decertification del’autorité bi-clé créationd’une • # openssl rsa –text –in de –out CA-Tamalo.crt –out jours> de

dans la figure A-3) est le mêmequenomdu titulaire A-3)est du figure dans la /usr/share/ssl/openssl.cnf Subject -signé del’autorité -signé dn afgr A-3). danslafigure root CA ificats signés expireront au maximum ) est l’instance suprême de lachaîne suprême l’instance ) est tfctat-in s asiat : rtificat auto-signé est la suivante el iueA-2, la durée de vie e dela figure decertification Figure A–1 teurs Boutherin etDelaunay Boutherin teurs utilisa- pour les et decertification l’autorité Création des bi-clés RSA pour RSApour desbi-clés Création 229

A – Infrastructure à gestion de clés : création de l’autorité de certification de Tamalo.com Les Cahiers de l’Admin – Sécuriser un réseau Linux 230 Création du certificat auto-signé ducertificat Création Visualisation du certificat de ducertificat Visualisation de l’autorité decertification de l’autorité l’autorité decertification l’autorité Figure A–3 Figure A–2 © Groupe Eyrolles, 2005 son adresse de messagerie. signer desmessages électroniques, ce sil’utilisat Eneffet important. est très © Groupe Eyrolles, 2005 Eyrolles, © Groupe L’AC signelescertificats Signature des certificats par champ DN del’utilisateur. le Le cernant Pour utilisateur lademandedecertificat CA correspondante être pour signéeparcelle-ci. La demande de certificat permet de générer un fichier qui sera transmis àla : suivante estla unedemandedecertificat La commandepourcréer Demande decertificatsutilisateur bien sûr fournir la fournir sûr bien si A-5,pour Comme lemontre figure la A-5. delafigure dansl’exemple jours 365 signés, qui fixe elle ladurée de validitédescertificats dessous. C’est –days 365 –Cacreateserial 365 –days –out –req –in cles_de_l’AC> –CA x509 # openssl –out –key –new req # openssl passphrase demandés aveclacommande pretn ’cée acépié elA ! del’AC privée à laclé d’accéder permettant champcorrespondre doit exactementà eur veut se servir de son certificat pour deson certificat eur veut seservir l’autorité decertification , ilfautfournir lesinformations con- gner la demande de certificat, il faut Email Address Email openssl (orfgr A-4) figure (voir donnéeci- Demande de certificat utilisateur decertificat Demande Figure A–4 231

A – Infrastructure à gestion de clés : création de l’autorité de certification de Tamalo.com Les Cahiers de l’Admin – Sécuriser un réseau Linux 232 Création d’un fichier PKCS12 d’unfichier Création Signature d’un certificat par d’uncertificat Signature l’Autorité de certification de l’Autorité Figure A–6 Figure A–5 chiffré, donc protégéregards des indiscrets. PKCS12au format transformation PKCS12. d’une est résultant fichier Le un navigateur dans importation leur ainsiqu’à etducertificat, privée delaclé Ce est fichier destiné au transport certificat auformatPKCS12 Création d’unfichierconten –out –inkey –in –export pkcs12 # openssl ant lacléprivéeetle Web (figure A-6). Il estauformat A-6). Il Web (figure © Groupe Eyrolles, 2005 ns le sous-répertoire correspondantde dans lesous-répertoire surleserveur placer cesfichiers © Groupe Eyrolles, 2005 Eyrolles, © Groupe /etc/httpd/conf/httpd.conf /etc/httpd/conf/ CA-Tamalo.crt www.tamalo.com.crt pourleserveur certificat La créationd’un Création ducertificatserveur www.tamalo.com HTTPS Mise enœuvre d’unserveur Web sécurisé clé privée (fichierclé ainsi Pourserveur utiliserlecertificat DNS pourceserveur. du serveur, quidoit correspondre ex leCN (Commonest ici Name) important champ A-7, le figure sur la voit etsignature demande decertificat :calc même façonquepourunutilisateur ) permettant de vérifier la chaîne de certification. Il suffit de et de mettre à jour le fichier de configuration d’Apache deconfiguration fichier et demettrejour le à ) et du certificat de de l’AC (fichier signataire ) et du certificat www.tamalo.com.key cmesi : suit comme de la demande par l’AC. Commeon par le demande la de établi, le serveur Apache abesoin desa établi, leserveur actement au nom enregistré le dans au nomenregistré actement ul d’une bi-clé pourle serveur, puis bi-clé ul d’une ), de son certificat (fichier soncertificat de ), www.tamalo.com s’effectuedela Création d’un certificat serveur certificat d’un Création Figure A–7 233

A – Infrastructure à gestion de clés : création de l’autorité de certification de Tamalo.com Les Cahiers de l’Admin – Sécuriser un réseau Linux 234 Comme le montre la figureA-8, il suffit alors d’ouvrir lapage Certains navigateurs ne reconnaissent pas le type MIME MIME type pasle ne reconnaissent navigateurs Certains deTamalo.comficat du site Web dans un navigateuràpartir PourCGIcerti- le decharger qui permettra créerunscript cela,nous allons navigateurs. dansles ilestnécessaire del’ajouter une decesautorités, l’ de enregistrées. Commelecertificat pré- quisont (commerciales) de certification nombretain d’autorités Tamalo.com. Danslesnavigateurs à notre Les navigateurs des postes clients quidevront accéderausite navigateursdespostes clients Les Installation delachaîne reboot fichier le Attention, x-x509-cert-ca Dans lerépertoire dansnotre script. ce type confiance à l’autorité de certification de tamalo.com. de decertification àl’autorité confiance doitêtredepu réitérée Cetteopération A-9. figure la montre de l’AC tamalo.comificat de visualiserlecert comme est possible le Il navigateur. haite que le serveur httpd puisse redé httpdpuisse haite queleserveur nedoitpasêtrepr machine. Cetteclé www.tamalo.com www.tamalo.com/ www.tamalo.com cat /root/PKI/CA-Tamalo.crt cat application/x-x509-ca-cert\n" -e"Content-type: echo ## racine l’AC de certificat du Chargement ## #!/bin/bash /var/www/cgi-bin/loadca www.tamalo.com.key -out www.tamalo.com.key –in rsa openssl /etc/httpd/conf/ssl.crt/CA-Tamalo.crt SSLCertificateChainFile www.tamalo.com.key /etc/httpd/conf/ssl.key/ SSLCertificateKeyFile /etc/httpd/conf/ssl.crt/www.tamalo.com.crt SSLCertificateFile ordpoée et l,uiie acmad : . Pourla commande utilisez déprotégercetteclé, . de certification de faire confiance l’autorité devront à cgi-bin/loadca utilisé pour les certificats électroniques. fautdonc utilisé pourlescertificats définir Il cgi-bin www.tamalo.com.key d w.aaocm ncé efcirsiat: www.tamalo.com, de on suivant créelefichier pour charger le certificat de l’AC dans un certificationsurleclient ACde Tamalo.com n’est par passigné otégée parunmot de passe si on sou- marrer sans intervention en cas de cas en marrer sansintervention is les clients webis lesclients qui doiventfaire disposition, il existe déjà un cer- un déjà existe il disposition, contient la clé privée dela privée contient laclé © Groupe Eyrolles, 2005 application/ https:// http:// http:// © Groupe Eyrolles, 2005 Eyrolles, © Groupe Figure A–9 Figure A–8 Visualisation des certificats des descertificats Visualisation Chargement du certificat del’AC unnavigateur ducertificat dans Chargement CA de confiance avecMozilla CA confiance de 235

A – Infrastructure à gestion de clés : création de l’autorité de certification de Tamalo.com Les Cahiers de l’Admin – Sécuriser un réseau Linux 236 Figure A–10 iueA-11. figure CA auto-signé d’une trouver acceptéepar le navigateur,un certificat voir s’effectue surla Cettechaî vérification person uncertificat Après avoirimporté Mozilla. dans personnel certificat d’un A-10montre l’importation figure La navigateur à partirdu format PKCS12. dans ilisateur peuvent-êtrele importés del’ut privée etlaclé certificat Le personnel d’uncertificat Installation lenavigateur dans Importation d’un certificat personnel dans Mozilla dans personnel d’uncertificat Importation ne complète de certification, jusqu’à ne complète decertification, nel, ilestpossiblede le vérifier. © Groupe Eyrolles, 2005 © Groupe Eyrolles, 2005 Eyrolles, © Groupe A-13. surfigure la unme estalors possible d’envoyer Il à utiliser poursigner ou tificat ch configurer fautauparavant le Il client des messagesélectroniques. navigateur,tion dansvotre estpossibl il Une fois installés votre certificat personnel et celui de certifica-de l’autorité chiffrer lescourriers électroniques Utilisation descertificats poursigner et/ou Figure A–11 Vérification de la chaîne de certification avecMozilla decertification delachaîne Vérification frrdsmsae vi iueA-12). figure (voir messages des iffrer ssage électronique signé comme indiqué de messagerie pourlui indiquer le demessagerie cer- e d’utiliser ce certificat poursigner ce certificat e d’utiliser 237

A – Infrastructure à gestion de clés : création de l’autorité de certification de Tamalo.com Les Cahiers de l’Admin – Sécuriser un réseau Linux 238 pour signer ou chiffrer des ouchiffrer signer pour Sélection d’un certificat d’un Sélection messages avec Mozilla avec messages Envoi d’un message Envoi d’un signéavecMozilla Figure A–13 Figure A–12 © Groupe Eyrolles, 2005 © Groupe Eyrolles, 2005 Eyrolles, © Groupe électroniques. auxservices d’accès dans et le devenir futur le moyenpourraient unique d’authentification nosrevenus etbientôtdevo déclarer électroniques, chiffrerles courriers nous tialité etdenon-répudiation. Ils etlesIGCrépondent La certification En conclusion permettent aujourd’hui designeret aujourd’hui permettent d’effectuer des achats en ligne, desachatsde d’effectuer à un besoin grandissant deconfiden- besoin grandissant un à ter électroniquement. Les certificats électroniquement.Les ter 239

A – Infrastructure à gestion de clés : création de l’autorité de certification de Tamalo.com

Authentification, mise en œuvre de B NIS, LDAP et Kerberos

L’administration de quelques dizaines de postes de travail dans un environnement distribué ne peut pas être réalisée de la même manière que celle d’un poste autonome. La mise en place d’outils de gestion centralisée des comptes utilisateur est nécessaire. Nous avons présenté au chapitre 10 les trois principaux logiciels pouvant répondre à la problématique rencontrée par la société Tamalo pour la gestion de sa base de données de comptes et pour son sys- tème d’authentification réseau. Voici maintenant la mise en œuvre de NIS, LDAP et Kerberos.

Mise en œuvre de NIS Développé par la société SUN Microsystems, NIS (Network Information Service) est une extension réseau du service d’authentification d’un système d’exploitation Unix. NIS permet en particulier de redistribuer la base de données des comptes utilisateur contenue généralement dans le fichier /etc/passwd d’une machine, à un ensemble de machines connectées au réseau. Cette application est disponible pour une grande majorité de sys- tèmes Unix propriétaires ou Open Source.

Installation du système NIS La procédure qui suit décrit l’installation d’un serveur maître NIS sur une machine dotée du système d’exploitation Linux RedHat 9 de l’entreprise Tamalo. Cette description inclut également la configuration d’un système client NIS ainsi qu’un exemple de génération de la base de données des comptes.

© Groupe Eyrolles, 2005 Les Cahiers de l’Admin – Sécuriser un réseau Linux 242 nt pour l’utilisation faiteàTamalo.le paquetageconvient pourl’utilisation défaut proposéedans Laversionpar des modules serveurs. les optionsdeconfiguration tient Exemple fichier de Le Le fichier/etc/ypserv.conf Configuration duserveur maître NIS les paquetages B-1 sont Tous les paquetagesdutableau Installation despaquetagesNIS dechargedansunenvironnement deproduction. et répartition nécessair serait serveur ici, maisuntel L’installationd’un configuration la et service d’authentification réseau. d’authentification service ypbind-1.11-4.rpm yp-tools-2.7-5.rpm ypserv-2.6-2.rpm Paquetage # table ? # table hosts the in found not hosts for lookups DNS do we Should # # net. aLinux # you have if needed, not all are things This ypserv. for options Some # # syntax. the of description a for ypserv.conf(5) See # # host. originating the on # based maps certain to access restrict or deny can you and # server, the NIS for options certain you can set # file In this # rpm –Uvh fichier /etc/ypserv.conf /etc/ypserv.conf fichier yp-tools Tableau B–1 /etc/ypserv.conf et ypbind ( ypmatch NIS ( clientes Commandes ciés ( NIS, fic et programmes Serveur Description Client NIS( /etc/yp.conf autgsNSpu iu e a 9 Paquetages RedHat Linux NISpour ypserv est fourni par lepaquetage par est fourni sontrequis pourunemachineutilisantle …) ypbind serveur esclave neseront pastraitées esclave serveur e pour assurer disponibilité du service , yppasswdd installés sur le serveur NIS. Seuls sur le serveur installés ) ) et fichier de configuration associé associé deconfiguration ) etfichier ypcat …) © Groupe Eyrolles, 2005 hiers de configuration asso- hiers deconfiguration , ypwhich ypserv , . Il con- . Il ued raind efciretl uvne: dure estlasuivante decréationcefichier procé- La NISestautorisé. par le distribuée serveur à l’information l’accès lesquels pour machines desréseauxou liste la notamment comporte © Groupe Eyrolles, 2005 Eyrolles, © Groupe Le fichier Le fichier/var/yp/securenets # chmod 644 /var/yp/securenets 644 # chmod /var/yp/securenets root:root # chown /var/yp /usr/share/doc/ypserv-2.6/securenets # cp none : : * * : # * faster. much that's above, them for rule # a create should you YP_AUTHDES, or YP_SECURE with maps have you # If server. NIS each on files # configuration the not server, master the on keys the # change to have only you but slower, bit little a check security # the make will This maps. the in YP_AUTHDES and YP_SECURE for # look will rpc.ypxfrd and ypserv rule, next the out comment you # If port : : passwd.adjunct.byname * : * port : : shadow.byname * : * !!! 1024 < ports access can and root is everbody MSDOG # under since secure, not passwords, shadow the see should everybody # Not port : : passwd.byuid * : # * port : : passwd.byname * : # * # Security : : Map Domain : # Host you. as server same the run not do that # network your in servers NIS slave have you if work not will it that # Note # passwords. like shadow you give will uncommented, when following, # The yes xfr_check_port: 1024 < ports from allowed only are requests # xfr 3600 slp_timeout: SLP ? with ypserv re-register weshould seconds how many # After no slp: ? SLP with ypserv register we # Should 30 files: ? be cached should handles map file # many How no dns: inthe moment. isignored # option This /var/yp/securenets contient les règles d’accès au serveur NIS. Il au serveur contient les règles d’accès 243

B – Authentification, mise en œuvre de NIS, LDAP et Kerberos Les Cahiers de l’Admin – Sécuriser un réseau Linux 244 tèmePourredémarragechaque dusys- configuré à nom dedomainesoit le que d’exploitation,ou non. saau domaine, qu’elle soitserveur surunemachineappartenant manuellement définition doit apparaître dans le fichier sysconfig/network La commande La Configuration dunomdedomaineNIS Exemple fichier de tion de ports ports de tion de dureet dépenddonc Callenanglais) desRPC(RemoteProce- protocole réseau NISreposeLe sur l’utilisation Lancement duserveur NIS serveur NIS serveur # service ypserv start ypserv service # start portmap service # NISDOMAIN=tamalonis tamalonis # nisdomainname 255.255.255.0192.168.155.0 255.255.255.0192.168.154.0 193.48.97.64 subnets # Tamalo’s 127.0.0.0 255.0.0.0 localhost for access allow Always # # hostnames. not file, # this in allowed are addresses IP Only # # 255.255.255.255. of netmask # a of instead "host" word the use can One # # those. of one least at # with match to needs address IP A clients # pairs. netmask/network contains file This # # clients. NIS for server NIS your # to rights access the defines file This securenets # ypserv Portmap nisdomainname /var/yp/securenets . s’effectuentsouslecomp . Les lancementsmanuelsdudémon Les . permet deconfigurernom dedomaine permet NIS le la présence du service dedétermina- présence duservice la eamnsrtu ot». root « te administrateur © Groupe Eyrolles, 2005 portmap etdu /etc/ sysconfig/network © Groupe Eyrolles, 2005 Eyrolles, © Groupe Exemple defichier /etc/yp.conf ypbind fichierLe deconfiguration Le fichierdeconfiguration /etc/yp.conf Configuration d’unclientNIS commande La La configuration du serveur maître NIS est maintenant achevée. maître NISestmaintenantachevée. La configuration duserveur NIS (comptesutilisateur, etc…). cont cette phase deconfiguration. Il le lancementdurépertoire serveur. Le êtredoit tamalonis» généré après L’ensemble dudomaine « des informations : chaque redémarrage dusystème broadcast # server. a find # to call broadcast a try rechable, is them of none # or specified is domain default the for server no If # # broadcast # /etc/hosts. in listed be must server of IP-address # The domain. local the for HOSTNAME server Use # HOSTNAME # ypserver # NISDOMAIN supporting for ypserver server SLP # local Query slp NISDOMAIN # domain # NISDOMAIN domain for net local the on broadcast Use # broadcast NISDOMAIN # domain # NISDOMAIN. domain the for HOSTNAME server Use # HOSTNAME server NISDOMAIN # domain # are entries # Valid file configuration ypbind - # /etc/yp.conf # make /var/yp # cd on ypserv 345 –-level # chkconfig on portmap 345 –-level # chkconfig . Si le nom de domaine NIS est déjà défini dans le fichier lefichier dans déjà défini nom NISest le dedomaine . Si . chkconfig /etc/yp.conf , ladirective rend le lancement de ces services automatique à rendcesservices lelancementde /etc/yp.conf broadcast ient les bases de donnéesient lesbasesde du domaine /var/yp/tamalonis /var/yp/tamalonis est utilisé par le démon client NIS par ledémonest utilisé client doit au minimum apparaître dans auminimum doit apparaître est créélorsde /etc/ 245

B – Authentification, mise en œuvre de NIS, LDAP et Kerberos Les Cahiers de l’Admin – Sécuriser un réseau Linux 246 fichier utiliser. qu’il devra informations Ceci comptes, il devient nécessaire de rens surlasourceeigner le système des deNIS, oudeto del’utilisation Lors chacun des sous-réseaux où de chacun dessous-réseauxoù d’interroger le serveur NISréférent. serveur le d’interroger comptesCestroisinformations directivesème dechercher les de indiquentausyst d’abord localement dans les fichiers plats, puis en casd’échec, passwd c’est-à- locales, lesinformations avec groupes oude GID) etnomsd’utilisateurs (UIDet associés identificateurs Par cherche àfaire lacorrespondance d’exploitation entre défaut,lesystème Configuration del’identifica Préalablement aulanc Lancement duclientNIS Attention, du l’utilisation s’assurer que le service s’assurer queleservice est configuré aveclacommande dusystème NISà chaqueredémarrage lancementautomatique du client Le NIS lancementmanuelduclient Le guré. tionné,commande enexécutantla tique dans le fichier tique danslefichier Tamalo,prise il convient soit dedéfi la mesuretroissous-rés réseau. Dans où Il est possible d’afficher le serveur NIS référant queledémon NISréférant leserveur estpossibled’afficher Il group: files nis files group: nis files shadow: nis files passwd: nis1.tamalo.com # ypwhich on 345 ypbind –level # chkconfig start ypbind service # et /etc/nsswitch.conf group . yp.conf ement su client NIS ement suclient Portmap broadcast d amnèesiat : delamanière suivante , soit de configurer des serveurs esclaves dans esclaves , soit de configurer desserveurs s clients NIS sontconfigurés. s clients est démarré etqueledomainea estdémarré étéconfi- chkconfig tion etdel’authentification ypwhich nepeutsefairesous- quedanslemême ut autre système ut autre degestion centralisé système ’feteprl omnesiat : commande suivante la s’effectue par nir la liste des serveurs de manièresta- de lalistedesserveurs nir dire celles contenues dans les fichiers est réaliséenmodifiantle contenu du eaux sont utilisés au sein de l’entre- de sont utilisésausein eaux : : ypbind © Groupe Eyrolles, 2005 , il est nécessaire, il de ypbind asélec- de ces nouvelles informations. de cesnouvelles a : par fichier uéiusàuevlu iiaeqiprdfu s 500. par défautest àunevaleurminimalequi supérieurs tions degroupes et de comptes ayan © Groupe Eyrolles, 2005 Eyrolles, © Groupe » bernard « compte Création du » direction groupeCréation du « Attention propagée dansles utilisateur, ma surleserveur localement L’enchaînementgroupecompte decommandes quisuitdéfinitunpuis Création d’ungroupe et associées auxfichiers Le fichier Modification dufichier/var/yp/Makefile Création decomptes utilisateur fichier le Dans PAMtion duservice doitreflétercette particularité. est transparen externe d’authentification l’authentificati enestdemêmepour Il faites sur les fichiers plats. Dans le cas présent, seule la génération des présent,seulelagénération faites surlesfichiersplats.Danslecas a : par NIS. estutiliséparlacommande Il # useradd –u 1000 –g direction bernard direction –g 1000 –u # useradd –g1000 direction # groupadd group passwd all: \ mail protocols netid services rpc hosts group passwd all: nis shadow md5 use_authtok nullok /lib/security/$ISA/pam_unix.so sufficient password shadow md5 use_authtok nullok /lib/security/$ISA/pam_unix.so sufficient password Makefile , lesoutilsde générationdes /var/yp/Makefile /etc/pam.d/system-auth afinderemplacer maps passwd NISafin que toutes lesmachines du réseau disposent décrit les règles de génération des cartes ( lesrèglesdegénérationcartes des décrit d’un compteutilisateur et group algesiat : la ligne suivante make t respectivement des GID et des UID GIDet des des t respectivement est utilisée. Il convient demodifierle estutilisée.Il maps on. Même si l’utilisation d’un système d’un on. Même sil’utilisation ître NIS. Cettedéfinition estensuite epae algesiat : , remplacez suivante ligne la te pour les applicatifs, laconfigura- te pour lesapplicatifs, lorsque des modifications ontété desmodifications lorsque NISnepropagentdéfini- queles maps maps ) 247

B – Authentification, mise en œuvre de NIS, LDAP et Kerberos Les Cahiers de l’Admin – Sécuriser un réseau Linux 248 du logiciel libre. optimisé pour lesaccèsenlecture, es pourhébergerlesinformatio cation LDAP.cation Comme pourNIS, d’authentifi- ilest utilisédans le système d’annuaire OpenLDAP estunservice Mise enœuvre deOpenLDAP ypmatch delacommande Exemple d’utilisation ypcat delacommande Exemple d’utilisation commandesen ligne Les Consultation desmapsNIS Génération des » bernard « compte de passedu mot Initialisation du et répartition de chargedansunenvironnement deproduction. et répartition se fois, unsecond serveur L’installation etlaconfiguration d’un comme systèm l’utiliser etde labasededonnéesdescomptesutilisateur d’interroger capable client Tamalo. égal inclut Cette description d’exploita machine dotéedusystème l’instal procédureLa décrit suivante Introduction une recherche dansune NIS. première La enaffiche le contenu tout enentier, laseconde effectue bernard:/bin/bash Boutherin:/nfs/home/ bernard:aaTHidUEku7:1000:1000:Bernard passwd.byname bernard ypmatch # sysadmin:x:1001: direction:x:1000: group # ypcat # make # cd/var/yp bernard # passwd maps NIS e d’authentification. map rait nécessaire pour assurer disponibilité duservice ypcat indexée. et ypmatch lation d’un serveur OpenLDAP sur serveur une lation d’un ns decomptesutilisateur. OpenLDAP, t devenu trèspopulairet devenu mondele dans réplica neseront Toute- pastraitées. réplica inLnxRda 9de l’entreprise RedHat Linux tion ement la configuration d’un système ement la configuration d’un appliquant le protocole decommuni- leprotocole appliquant montrent le contenu descartes © Groupe Eyrolles, 2005 cadre du travail d’évaluation mené d’évaluation travail du cadre © Groupe Eyrolles, 2005 Eyrolles, © Groupe openldap-servers Le fichier Configuration duserveur OpenLDAP tèmeSyslog avec lelabel OpenLDAP envoie pardéfaut serveur Le Redirection desmessagesdelogs les paquetages LDAP. B-2sontinstallés sur leserveur Tous Seuls les paquetages du tableau Installation despaquetagesOpenLDAP oiiain: modification cette encomptede estnécessairela prise pour redémarrage duSyslog Le : suivante lefichierdeconfiguration du d’éditer d’éventuels production afindecorriger de sa phase el, maiségalementpendant du logici de laphase d’installation comme unserveur. LDAP, d’authentification le service utiliser pas qui nesecomporte mais OpenLDAP.paquetage le par fournie est decefichier version Une openldap-clients-2.0.27-8.rpm openldap-servers-2.0.27-8.rpm openldap-2.0.27-8.rpm nss_ldap-202-5.rpm Paquetage # service syslog restart restart syslog # service /var/log/ldap.log # touch /var/log/ldap.log local4.* ldap.log to messages ldap # Save # –Uvh rpm /etc/openldap/slapd.conf Tableau B–2 nss_ldap . Le contenu du fichierdeconfiguration. Le utilisédansle et local4 autgsOeLA orLnxRdHt9 Paquetages OpenLDAP RedHat Linux pour openldap . Il est important est accèsà. Il d’avoir cestraces lors a aaoetpéet iars. par Tamalo ci-après estprésenté sont requis pourunemachinequidoit contient la configuration du serveur la configuration contient problèmes. Pour cela,ilestnécessaire Syslog et de lui ajouter la directive la ajouter lui etde Syslog ldapdelete LDAP clientes Commandes ( associés.de configuration OpenLDAP,Serveur etfichiers programmes partagées. Fichiers bibliothèques et de configuration tème. dusys- d’authentification le mécanisme PAMModules LDAP etNSSintégrant dans Description lestracesdesonactivitéausys- , ldapmodify ldapadd , etc.) , 249

B – Authentification, mise en œuvre de NIS, LDAP et Kerberos Les Cahiers de l’Admin – Sécuriser un réseau Linux 250 C’est lacommande C’est ? Comment lemotdepassedurootdn a-t-ilétégénéré obtenue estcopiéedanslefichier deconfiguration. LDAP.service de utilisé parl’administrateur ainsi de caractères chaîne La {SSHA}TKbZW1q/EsjGif+lmbx4GvLAthDGQ9jP password: new Re-enter password: New # slappasswd eq,subinitial cn,mail,surname,givenname index eq objectClass,uid,uidNumber,gidNumber,memberUid index maintain to # Indices /var/lib/ldap directory # recommended. 700 Mode slapd/tools. the by accessible be only should # AND slapd torunning prior exist MUST directory # The database {SSHA}SXf8jSt9A8YjdJwCKIzs4aGUEFp4PkYI rootpw "cn=admin,dc=tamalo,dc=com" rootdn "dc=tamalo,dc=com" suffix ldbm database definitions # ldbm database none * by read domain=".*\.tamalo\.com" by read peername.regex="IP=127\.0\.0\.1" by read users by write self by * to access # none * by auth anonymous by write self by attr=userPassword to access # /usr/share/ssl/certs/ca-bundle.crt TLSCACertificateFile /usr/share/ssl/certs/slapd.pem TLSCertificateKeyFile /usr/share/ssl/certs/slapd.pem TLSCertificateFile # /etc/openldap/schema/redhat/kerberosobject.schema include /etc/openldap/schema/redhat/autofs.schema include /etc/openldap/schema/redhat/rfc822-MailMember.schema include /etc/openldap/schema/nis.schema include /etc/openldap/schema/inetorgperson.schema include /etc/openldap/schema/cosine.schema include /etc/openldap/schema/core.schema include # readable. world be NOT should file This # options. configuration on details for slapd.conf(5) See # slappasswd qui génère la chaîne cryptée du mot de passe de mot du cryptée chaîne la génère qui © Groupe Eyrolles, 2005 suppression, d’enregistrements…). modification delabase l’administrateur à serviront LDAP. pourcontacterle serveur aux commandes client Ces commandes quement les attributs de leur compte. deleur quement lesattributs tions plussélectives aux permettent ut prêtes à êtreprêtes utilisées. po estlancé,lescommandes serveur Le dernier. serait pas le serveur, cetteadresse réseau dece être devrait cellede la carte Après lelancement, ilpeutêtre instru : redémarrage dusystème © Groupe Eyrolles, 2005 Eyrolles, © Groupe nées LDAP. es Cetteopération Aucune définition n’a été faite surlast Création duschéma de labasedonnées L’adresse LDAP de est celle duserveur Fichier /etc/openldap/ldap.conf Le fichier Configuration descommandes client /var/log/ldap.log commande La : suivante OpenLDAP parlacommande lancementmanuelduserveur s’effectue Le Lancement duserveur OpenLDAP (mot-clé de configuration fichier dansle décrites permissions Les ? Quelles sontlesrestrictions d’accès fichier contenant ces informations au format LDIF (format d’importation). LDIF(format au fichier contenant format ces informations des machinesconfigurées dans ledomaine DNS lui-mêmeet duserveur lecture lesaccèsen uniquementàpartir autorisent BASE dc=tamalo,dc=com BASE 127.0.0.1 HOST on ldap 345 –level # chkconfig start ldap # service /etc/openldap/ldap.conf /etc/openldap/ldap.conf chkconfig . configure lelancementautomatique àchaque t réaliséeaveclacommande ilisateurs authentifiésdemodifieruni- pour en manipuler lecontenu (ajout, ctif de consulterctif lecontenu dufichier ructure du contenu de la base de don- de contenu delabase du ructure contient les informations nécessaires ur peupler labasededonnéesur sont loopback . Sur une machine quine unemachine Sur . tamalo.com . Desautorisa- ldapadd access etun ) 251

B – Authentification, mise en œuvre de NIS, LDAP et Kerberos Les Cahiers de l’Admin – Sécuriser un réseau Linux 252 groupe se fait en manipulant en groupe sefait de la structure De mêmequepour la Création d’ungroupe so Ces sontimportées définitions Fichier ldap_base.ldif Le fichier Importation de la définition dugroupedéfinition dela Importation »danslefichierldap_group.ldif direction dugroupeDéfinition « tions des groupesetdes comptes utilisateur. prêt basededonnéesmaintenant La est : veur LDAPla commandesuivante avec des comptes. delabase tient les caractéristiques adding new entry "cn=direction,ou=Group,dc=tamalo,dc=com" entry new adding Password: LDAP Enter ldap_group.ldif -x -f -W "cn=admin,dc=tamalo,dc=com" -D ldapadd 1000 gidNumber: {crypt}x userPassword: direction cn: top objectClass: posixGroup objectClass: cn=direction,ou=Group,dc=tamalo,dc=com dn: "ou=Group,dc=tamalo,dc=com" entry new adding "ou=People,dc=tamalo,dc=com" entry new adding "dc=tamalo,dc=com" entry new adding Password: LDAP Enter ldap_base.ldif -f -x -W "cn=admin,dc=tamalo,dc=com" -D ldapadd # organizationalUnit objectClass: top objectClass: Group ou: ou=Group,dc=tamalo,dc=com dn: organizationalUnit objectClass: top objectClass: People ou: ou=People,dc=tamalo,dc=com dn: domain objectClass: top objectClass: tamalo dc: dc=tamalo,dc=com dn: ldap_base.ldif est crééparles des données au format LDIF. desdonnéesauformat us le compte administrateur us lecompte administrateur donnéesLDAP utiliséepourlagestion basededonnées,ladéfinition d’un e pour êtrepour peupléeaveclesdéfini- e administrateurs deTamalo.administrateurs con- Il © Groupe Eyrolles, 2005 rootdn du ser- paquetage share/openldap/migration passwd © Groupe Eyrolles, 2005 Eyrolles, © Groupe Affichage d’unenregistrement Des outilspermettant la migration » bernard del’utilisateur« deladéfinition Importation Voici le contenu du fichier Création d’uncompteutilisateur opeuiiaer«brad»: » bernard compte utilisateur « objectClass: top objectClass: posixAccount objectClass: account objectClass: bernard cn: bernard uid: uid=bernard,ou=People,dc=tamalo,dc=com dn: com tamalo, People, # bernard, # ALL # requesting: cn=bernard # filter: # 2 version: Password: LDAP Enter "cn=bernard" -x -W "cn=admin,dc=tamalo,dc=com" -D # ldapsearch "uid=bernard,ou=People,dc=tamalo,dc=com" entry new adding Password: LDAP Enter ldap_user.ldif -f -x -W "cn=admin,dc=tamalo,dc=com" -D # ldapadd /nfs/home/bernard homeDirectory: 1000 gidNumber: 1000 uidNumber: /bin/bash loginShell: 7 shadowWarning: 99999 shadowMax: 13276 shadowLastChange: {crypt}$1$OybE4vbhDJjeukb$ZxITTVjS4kyTS1 userPassword: shadowAccount objectClass: top objectClass: posixAccount objectClass: account objectClass: bernard cn: bernard uid: uid=bernard,ou=People,dc=tamalo,dc=com dn: et /etc/group openldap-servers dans la base de données LD . . Ils sont contenus danslerépertoire . Ils ldap_user.ldif en masseducontenudesfichiers contenant la définition du la définition contenant AP sont distri sont AP bués avec le bués avec /usr/ /etc/ 253

B – Authentification, mise en œuvre de NIS, LDAP et Kerberos Les Cahiers de l’Admin – Sécuriser un réseau Linux 254 d’annuaire, l’adresse IP qui apparaît avec la directive directive la avec IPquiapparaît l’adresse d’annuaire, la suruneautreconfiguration esteffectuée Si machineque le serveur Extrait fichier /etc/ldap.conf du deconfiguration fichier le dans utilis des la phased’authentification Avant LDAP qu’ilpour consulte l’annuaire deconfigurersystème le lors de Configuration del’identifica fichiers avec lesinformations locales, c’est-à- groupes oude GID) etnomsd’utilisateurs (UIDet associés identificateurs Par cherche àfaire lacorrespondance d’exploitation entre défaut,lesystème réseauduserveur. l’interface contenu dufichier la sourcedesinformations qu’il utiliser. devra le modifiant en Ceciestréalisé deLDAP, del’utilisation Lors sur ilestnécessaire derenseignerle système base à utiliser. tion du service PAMtion duservice doit refléter cetteparticularité. est transparen externe d’authentification l’authentificati pour en estdemême Il LDAP.serveur le d’interroger comptesd’abord localement dans les fi Cestrois directives indiquentausyst group: files ldap files group: ldap files shadow: ldap files passwd: dc=tamalo,dc=com base base. ofthe search name # The distinguished 127.0.0.1 host LDAP. using without beresolvable Must server. # Your LDAP /nfs/home/bernard homeDirectory: 1000 gidNumber: 1000 uidNumber: /bin/bash loginShell: 7 shadowWarning: 99999 shadowMax: 13276 shadowLastChange: e2NyeXB0fSQxJE95YkU0dmJoREpqZXVrYiRaeEl userPassword:: shadowAccount objectClass: passwd et group /etc/nsswitch.conf . tion etdel’authentification /etc/ldap.conf ateurs, il est nécessaireateurs, il derenseigner on. Même si l’utilisation d’un système d’un on. Mêmesi l’utilisation ème de chercher les informationsème dechercher les de d amnèesiat : delamanière suivante dire contenuesdansles aveccelles tepour lesapplicatifs, la configura- chiers plats, puis, d’échec, en cas le nom du serveur etdela nom duserveur le © Groupe Eyrolles, 2005 host doitêtrede celle rente en utilisant l’interface deconfiguration rente enutilisantl’interface Ces peuventêtre opérations réaliséesde manière ettranspa- plus confortable : LDAP àl’annuaire gation © Groupe Eyrolles, 2005 Eyrolles, © Groupe 9. Linux Red Hat ment d’au la configuration dusystème duMIT.distribution la de 5issu présenteégale- Elle Kerberos serveur d’un les étapesnécessairesLa procédure décrit 5 Installation d’un serveur Kerberos Massachusetts du InstituteofTechnologycelle ( co plus Les etc.). Windows, Microsoft d’ex dessystèmes bles pour la plupart veur. commerc implémentations Plusieurs client/ser- lemodèle baséessur desapplications pour forte d’authentification a été développé dans Il cryptographie. Kerberos est un protocole d’authentifica Mise enœuvre deKerberos Voici le fichier www/ kholm ( kholm session optional /lib/security/$ISA/pam_ldap.so optional session /lib/security/$ISA/pam_unix.so required session /lib/security/$ISA/pam_limits.so required session /lib/security/$ISA/pam_deny.so required password use_authtok /lib/security/$ISA/pam_ldap.so sufficient password shadow md5 use_authtok nullok /lib/security/$ISA/pam_unix.so sufficient password type= retry=3 /lib/security/$ISA/pam_cracklib.so required password user_unknown=ignore success=ok [default=bad account /lib/security/$ISA/pam_unix.so required account /lib/security/$ISA/pam_deny.so required auth use_first_pass /lib/security/$ISA/pam_ldap.so auth sufficient nullok likeauth /lib/security/$ISA/pam_unix.so auth sufficient /lib/security/$ISA/pam_env.so required auth run. is authconfig time next the destroyed be will changes # User auto-generated. is file # This #%PAM-1.0 ) et celle du projetdu Heimdaldel’In et celle ) http://www.pdc.kth.se/heimdal/ X X /lib/security/$ISA/pam_ldap.so system_err=ignore] service_err=ignore /etc/pam.d/system-auth ). nnues dans le monde Open Source sont nnues danslemondeOpen Source thentification PAM KRB5 du système ploitation utilisés tion réseau utilisant des techniques de lebutdeproposer des mécanismes stitut Royal deTechnologie deStoc- modifiéafindepermettrel’interro- à l’installation et à la configuration à la et àl’installation iales et Open Source sont disponi- authconfig http://web.mit.edu/kerberos/ . de nos jours (Unix, B encore d’appliquer les mi cation desutilisateurs, ilestplusimportant failles desécurité. Pour un système d’authentifi- Comme toutlogiciel,Kerberos aeusonlotde http://web.mit.edu/kerberos/www/ advisories/ M ISES

JOUR

Kerberos etlasécurité ses à jourdesécurité. 255

B – Authentification, mise en œuvre de NIS, LDAP et Kerberos Les Cahiers de l’Admin – Sécuriser un réseau Linux 256 configurées commeserveur. sur lesmachines utilisant lesystème Le fichier/etc/krb5.conf 5 Configuration duserveur Kerberos lespaquetages Kerberos. Seuls Tousle dans lespaquetagesprésentés Installation despaqu duction. ponibilité et répartition de service de secondaire Kerberos.Celui-ci seraitcependantnécessaire pourassurerdis- n’inclut l’installa description pas Cette Exemple de fichier /etc/krb5.conf Exemple fichier de lepaquetage par estfourni Cefichier tls enme«creetml.o ». cerbere.tamalo.com utilisé senomme« ebrs5. Il contientla descriptionKerberos du domaine Kerberos, le PAM etparlemoduled’authentification rentes commandesclientes Pour le cetteprésentation, tage,seuls lesnoms du contenu danslepaque- défaut configurationPar par de aufichier rapport duquel l’authentificati pam_krb5-1.60-1.rpm krb5-server-1.2.7-38.3.rpm krb5-libs-1.2.7-38.3.rpm krb5-workstation-1.2.7-38-3.rpm Paquetage kdc = FILE:/var/log/krb5kdc.log = kdc = FILE:/var/log/krb5libs.log default [logging] # rpm –Uvh Tableau B–3 autgsRMKreo I orLnxRdHt9 Hat Red pourLinux MIT 5 Paquetages RPMKerberos on doitêtre réalisée. realm tgsKreo 5 etages Kerberos realm et du serveur Kerberos sont remplacés. Kerberos etduserveur krb5-workstation est « TAMALO.COM » » et leseulserveur TAMALO.COM est« charge dansunenvironnement charge de pro- ala B-3 surleserveur sont installés tableau d’authentification Kerberos maisnon Kerberos d’authentification krb5-libs tion et la configuration d’un serveur d’un tion etlaconfiguration fichier de configuration deconfiguration fichier 5et Kerberos partagées Bibliothèques klist 5 ( Commandes clientes Kerberos Description PAMBibliothèque kadmind 5( de Kerberos Serveur /etc/krb5.conf /lib/security/pam_krb5.so , kdestroy . Il estutiliséparlesdiffé- . Il et ) © Groupe Eyrolles, 2005 krb5-libs , . kpasswd krb5kdc sontinstallés realm ) kinit , auprès , , © Groupe Eyrolles, 2005 Eyrolles, © Groupe Exemple /var/kerberos/krb5kdc/kdc.conf defichier kdc.conf Le fichier/var/kerberos/krb5kdc/kdc.conf chemin d’accès ou encorechemin d’accès comme nomle dedomaine, le Kerberos, duserveur au fonctionnement nécessaires lesinformations contient Il Domain Controler(KDC). Kerberos } des-cbc-crc:afs3 des-cbc-crc:v4 des-cbc-crc:normal \ des-cbc-md5:normal des-hmac-sha1:normal \ arcfour-hmac:normal des3-hmac-sha1:normal = supported_enctypes des-cbc-crc = master_key_type = { TAMALO.COM [realms] = nopreauth v4_mode /var/kerberos/krb5kdc/kadm5.keytab = admin_keytab /usr/share/dict/words = dict_file /var/kerberos/krb5kdc/kadm5.acl = acl_file [kdcdefaults] } false = krb4_convert true = forwardable 36000 = renew_lifetime 36000 = ticket_lifetime =false debug { = pam [appdefaults] = /var/kerberos/krb5kdc/kdc.conf profile [kdc] = TAMALO.COM tamalo.com TAMALO.COM = .tamalo.com [domain_realm] } tamalo.com = default_domain cerbere.tamalo.com:749 = admin_server cerbere.tamalo.com:88 = kdc = { TAMALO.COM [realms] false = dns_lookup_kdc = false dns_lookup_realm = TAMALO.COM default_realm [libdefaults] FILE:/var/log/kadmind.log = admin_server est le fichier de configuration du serveur de domaine Kerberos, ou de domaineKerberos, serveur configuration du de est lefichier des directives delogs. 257

B – Authentification, mise en œuvre de NIS, LDAP et Kerberos Les Cahiers de l’Admin – Sécuriser un réseau Linux 258 de gestion du registre déporté du de gestion registre déporté leservice Kerberosd’authentifier auserveur quipermettra d’authentification kerberos/krb5kdc le fichier le fichier êtrecompte doitcréé(dans de n’importe quelle machineutilisan Pour à partir de c’est-à-dire labase données Kerberos, administrer àdistance Kerberos. duserveur » root « teur Toutes ontétéréalisées lesopérations À cetteétape, laconfiguration duse Ajout d’uncompteadministrateur Kerberos crééedans le répertoire base vient La de donnéesKerberos d’être lo lecompteadministrateur Sous 5 Création delabasedonnéesKerberos l’administrateur C’est Kerberos. »possède tous lesdroits sur la base de données admin/admin « principal Le Exemple/var/kerberos/krb5kdc/kadm5.acl fichier de comptes. Dans la terminologie Ce contient fichier ladéfinition desde chacun droits des particuliers Le fichier/var/kerberos/krb5kdc/kadm5.acl Le fichier » root « lecompteprivilégié Sous Création dufichier/var/ker la commande commande la L’exempledonne uneconfig suivant kadmin/admin kadmin/changepw kadmin/admin \ /var/kerberos/krb5kdc/kadm5.keytab –k ktadd kadmin.local: # kadmin.local admin/[email protected] addprinc kadmin.local: # kadmin.local –s –rTAMALO.COM create # kdb5_util * admin/[email protected] kadm5.acl /var/kerberos/krb5kdc/kadm5.keytab kadmin.local . lors de l’étape précédente). précédente). lorsdel’étape cet exemple, ils’agitdecelui qui a été défini dans su ecmt rvlgé«ro ». root sous lecompte« privilégié kadmind Kerberos, uncompte Kerberos, estun du système d’authentification. du système a ot» xctrl omne: lacommande exécuter », root « cal xctrl omnesiat : , exécuterlacommandesuivante uration minimale de cesdroits. de minimale uration beros/krb5kdc/kadm5.keytab rveur Kerberos (ou KDC) estachevée. (ouKDC) Kerberos rveur localement sous le compteadministra- sous le localement . t le système d’authentification, un d’authentification, t lesystème Ceci estréaliséenexécutant est créé. Il contient laclé Il créé. est © Groupe Eyrolles, 2005 principal . /var/ fichier krb5.conf © Groupe Eyrolles, 2005 Eyrolles, © Groupe Extrait configuration/etc/pam.d/system fichier de du authconfig fichier du celle nécessite l’authentification de configuration La Configuration del’authentificationKerberos deuxservices Les Lancement desinstancesKerberos surleserveur KDC manuellement ou automatiquement avec manuellement ou Le lancement manuel des services lancementmanuel des services Le comptes utilisateur. delabasedonnées, égalementappeléeregistredéportée des Kerberos d’administration KRB, lesecondestservice d’authentification veur iuépr: figuré par automatique deKerberos lancement Le ». root compte privilégié « Kerberos session optional /lib/security/$ISA/pam_krb5.so optional session /lib/security/$ISA/pam_unix.so required session /lib/security/$ISA/pam_limits.so required session /lib/security/$ISA/pam_deny.so required password use_authtok /lib/security/$ISA/pam_krb5.so sufficient password shadow md5 use_authtok nullok /lib/security/$ISA/pam_unix.so sufficient password type= retry=3 /lib/security/$ISA/pam_cracklib.so required password /lib/security/$ISA/pam_krb5.so system_err=ignore] service_err=ignore user_unknown=ignore success=ok [default=bad account /lib/security/$ISA/pam_unix.so required account /lib/security/$ISA/pam_deny.so required auth use_first_pass /lib/security/$ISA/pam_krb5.so auth sufficient nullok likeauth /lib/security/$ISA/pam_unix.so auth sufficient /lib/security/$ISA/pam_env.so required auth run. is authconfig time next the destroyed be will changes # User auto-generated. is file # This #%PAM-1.0 on kadmin 345 --level # chkconfig on krb5kdc 345 --level # chkconfig start kadmin # service start krb5kdc # service /etc/pam.d/system-auth commeprésentéprécédemment, . krb5kdc et kadmin . Ces modifications peuvent être peuvent réalisées . Cesmodifications sont premier nécessaires. est leser- Le krb5kdc au redémarrage du système est con- est au redémarrage dusystème l’utilitaire enlignedecommande l’utilitaire et ainsi que la modification du ainsi que lamodification - kadmind auth modifié pour utiliser pourutiliser auth modifié estréalisésousle /etc/ 259

B – Authentification, mise en œuvre de NIS, LDAP et Kerberos Les Cahiers de l’Admin – Sécuriser un réseau Linux 260 passwd avec l’identifiant del’ad l’identifiant avec Définition des utilisateursDéfinition des » bernard « principal desattributsdu Affichage » bernard « duprincipal Ajout comptesKerberossontcréésavecl’utilitaire Les Création des comptes Kerberos Dans le cas de systèmes Unix,une desystèmes Dans le cas jointementl’utilisation deKerberos. à être doit pr decesinformations bution électronique, numéro detéléphone etc.)comme NISouLDAP. redistri- La Unix (UID, GID, home, (adresse etc.)ouencore administratif àcaractère gestiontype données de descomptes de comprenant utilisateurattributs des neproposepasunebasede tion. Il d’authentifica estunsystème Kerberos adaptés. commede machines,dessystèmes NISouencoreLDAP plus deviennent teur Kerberos est passé en argument. estpasséen Kerberos teur me la dans Kerberos, l’authentification n’importe quelcompteUnix surn’ vontêtrecréation réalisées. Cett Attributes: salt no CRC-32, with mode cbc DES 1, vno Key: salt no HMAC/sha1, with mode cbc DES Triple 1, vno Key: 2 keys: of Number 0 attempts: password Failed [never] authentication: failed Last [never] authentication: successful Last [email protected]) (admin/ 2006 DFT 00:01:55 1 May Fri modified: Last 00:00:00 days 7 life: renewable Maximum 10:00:00 days 0 life: ticket Maximum [none] date: expiration Password 2006 DFT 1 00:01:55 May Fri change: password Last [never] date: Expiration [email protected] Principal: bernard getprinc kadmin: admin/[email protected] # kadmin bernard addprinc kadmin: admin/[email protected] # kadmin peutsuffire. Dansun environnem ministrateur Kerberossous ministrateur e commande peut êtrepeut exécutéesous e commande définition locale dans le fichier ise en charge par un autre service con- ise enchargeparunautre service importe quellemachinepermettant importe sure où l’identifiant del’administra- sure oùl’identifiant ent comportant plusieursdizaines ent comportant kadmin lequel les opérations de lequellesopérations © Groupe Eyrolles, 2005 . Ce dernierestlancé /etc/ Index

Symboles /var/kerberos/krb5kdc/ attaque MiM 128 /etc/cron.allow 84 kadm5.keytab 258 audit 197, 206 /etc/cron.deny 84 /var/kerberos/krb5kdc/kdc.conf 257 Authentification 209, 210 /etc/group 212 /var/yp/securenets 220, 243 authentification 18, 46, 47, 52–57, 60– /etc/gshadow 214 Numériques 61, 125, 128 /etc/hosts.allow 83 client 52, 53 127.0.0.1 111 /etc/hosts.deny 83 fonctionnement 211 3DES 49, 53 /etc/httpd/conf 126 Linux 212 802.1X 184 /etc/inittab 77 mot de passe 215 /etc/krb5.conf 256 A par certificat 132 /etc/ldap.conf 223, 254 abuse 41, 42 serveur 52, 53 /etc/mail 110 ack 138, 142 système 211 /etc/mail/access 111, 113 adresse MAC 36 AuthorizedKeysFile 61 /etc/mail/local-host-names 114 ADSL (Asymmetric Digital Subscriber autorité de certification 52, 53 /etc/mail/mailertable 113 Line) 3 auto-signé 229 /etc/mail/sendmail.cf 112 AES (Advanced Encryption avis de sécurité 42 /etc/mail/sendmail.mc 110–113 Standard) 49 B /etc/nsswitch.conf 217 anaconda-ks.cfg 70 backdoor 28, 30, 33, 38 /etc/pam.d/system-auth 216 analyse bibliothèque dynamique 28 /etc/passwd 212 à chaud 28 bi-clé 227 /etc/resolv.conf 104 à froid 29 BIND (Berkeley Internet Name /etc/shadow 213 disque piraté 29 Domain) 12, 16, 97, 98 /etc/sudoers 81 antispam blacklist 107 /etc/sysconfig/named 99 milter-greylist 121 blowfish 49 /etc/sysctl.conf 85, 87 antivirus 116 boîte à outils 33 /etc/syslog.conf 84 base de signatures 118 broadcast 158, 220, 223, 246 /etc/yp.conf 220, 245 Apache 12, 126 brute force 220 /etc/ypserv.conf 220, 242 API 115 buffer overflow 26, 145 /sbin/nologin 83 APT 74 /usr/share/ssl/certs 124 arpwatch 161 C /var/kerberos/krb5kdc/kadm5.acl 258 attaque 40 CA (Autorité de Certification ) 52 phishing 128 capture 61

© Groupe Eyrolles, 2003 261 Les Cahiers de l’Admin – Sécuriser un réseau Linux onxo 139 connexion 148, 171 138, connection tracking 75 configuration minimale 54 52, 50, 48, 49, 47, confidentialité 2,27, 154 compromission 56 compression CNIL (Commission Nationale de 15, 154 cloisonnement clé 117 ClamAV 94,97 chroot 126 77,78,103, 58, 59, chkconfig 237 46, chiffrer 54,55,125 47, 51, chiffrement 211 Challenge-response 46 challenge 227 126, 53, 52, certificat TM 30 CTIME 51 cryptographie 46 cryptanalystes 84 crond 25 cracker 73 26, correctif 40 core 50 copyrights 193 consommation CERT (Computer Emergency CERT (Computer 262 ye e3 de types 57 54, sécurisée 59 interactive 54 secrète 49,50, 54, 52–53, 61 publique 49,54, 62 privée 54,57 50, de session 118 installation 57 54, 53, 48, symétrique 48 clé secrète 49 clé publique 50 49, asymétrique 47,50, 54, 57 algorithme 2 Renater iets 192 Libertés) l’Informatique etdes eoreTa)42 Resource Team) RTC (Réseautéléphonique 3 Numéris omt)3 commuté) yai ot139 port dynamic 33 dsniff Signature (Digital DSA 79, 80 droit 141 drapeau established 142, 144, 150 142,144, established 192 empreinte 46, 55 15, écoute 185 EAP E 95– 12, System) Name (Domain DNS 165 DNAT 155, 154, (DeMilitarized Zone) DMZ 64 DISPLAY 57 Diffie-Hellman détection 49, Encryption Standard) (Data DES 88 déni de service 96 démon 46 défi 46 décrypter 46 déchiffrer 26 débordement demémoire DDOS (Distributed Deny Of Advanced Research (Defense DARPA D zone 96, 101 96, zone 101 SOA 96 récursif 102 PTR 107 101, MX 101 IN 104 96, host commande 98 chroot 25 attaque TS185 TTLS 185 TLS 185 MD5 201 intrusion 25 distribué Algorithm) 50, 50, 57, 61 53, Algorithm) 104 186 158, 214 53, 25 Service) 13 2, Projects Agency) tacs /t/tacs)151 ftpaccess (/etc/ftpaccess) FTP (File Transfer Protocol) 12, 56, 12, FTP (FileTransferProtocol) 184 FreeRADIUS 18, 155 réseau flux FIRST (ForumofIncidentResponse 80,81 find 138, 151, 171, 186 filtrage 26 faille système F IANA (Internet As IANA (Internet I 126 125, 54, 16, HTTPS (Hyper TextTransfer HTTP 61 HostbasedAuthentication 25 hacker 144 H323 H 107 greylist 25 gourou des systèmes 5 GNU (Graphical Identification aNd GINA 191 gestion centraliséedes logs G xli 26, 39 exploit 36 Ethernet 151 141, 33, Ethereal ICMP (Internet Control Message mode passif 149, 149, 150 passif mode 147 actif mode otitri af145 interditsauf tout 144 sauf autorisé tout 139 état sans 140 règles debase 138 principes debase 142 limites 150 147, FTP 143 avec états corqet87 Echo request cueduessinFP34 session FTP d'une écoute 146 42 Team) and Security rtcl 16 Protocol) 225 Authentication rtcl 85, 138, 201 Protocol) 139 Authority) © Groupe Eyrolles,2003 © signed Numbers ISDN (Integrated Service Digital (IntegratedService ISDN 89,154, 186 16, 171, IPtables 171 IPchains 12,13 2, (InternetProtocol) IP intrusion 2 Internet 50, 193 intégrité 30 inittab 30 init.d 227 declés àgestion infrastructure 30 inetd.conf 83 inetd 204 indicateurs 124 16, 54, 105, IMAPS Access Message (Internet IMAP 61 IgnoreRhosts IGC (Infrastructure àgestionde Engineering Task IETF (Internet 50 identité 210 209, identification Encryption Data (International IDEA © GroupeEyrolles, 2003 255 223, 210, 209, Kerberos Domain (Kerberos KDC K 173 journalisation 190 journal J al 171 table 174 source NAT 173 règle 174 NAT 174 mascarade 174 filtrage 174 destination NAT 171 chaîne 88, 140 spoofing 24 informatique 201 détection 86,87,140 85, Redirect 87 Response Ignore Bogus ewr)3 Network) 13, 54, 113, 105, 124 Protocol) 53,227 54, clés) 51 Force) 49 Algorithm) otoe)223 Controler) pn 40 lprng 75 LPRng 190 Logwatch 190 Logsurfer 190 Logcheck 85 log 111 localhost liste 171 Linux 117 licence GPL scg73 ks.cfg 24 kiddies 70, 71, 89 KickStart érlge190,206 métrologie messagerie 214 MD5 158 desous-réseau masque 168 mascarade 88 martien 128 middle the in man 161 36, Control) Access (Media MAC M LDAP (Lightweight Directory Access L or 107 noire 121 grise 107 blanche 5 système 5 noyau 4 histoire 5 distributions Linuxsécurisées 222 sécurité 223 limites iie 225 limites 223 fonctionnement 256 configuration unrblts105 vulnérabilités 113 relais 108 profil 107 passerelle 104 MX 104 électronique 108 architecture 127 accès nomade Protocol) 209, 210, 221, 248 221, 210, 209, Protocol) ems 158 netmask 16, 171,186 Netfilter 148 netcat 16,197 Nessus X(alecagr 96 MX (Mail eXchanger) 30 MTIME 110 (MessageMTA Transfer Agent) NAT (Network Address 99 named.conf 103 named.cache 97 named N MRTG (Multi Router Traffic Router (Multi MRTG 61 depasse mot 28 noyau module du modification 36,161 modèle OSI 70, 73 mise à jour 86 (Man MiM in the Middle) 121 milter-greylist 115 Milter MIB (Management Information apr ’ui 200 rapport d’audit 199 installation 198 configuration 166, 167 165, statique 165 source 170 168, 165, dynamique 165 destination iulsto 196 visualisation 196 lancement 195, 196 installation 196 configuration éarg 74 démarrage 74 boot 74 BIOS 28 modules du noyau 28 commandes 28 bibliothèques dynamiques 121 installation 116 filtre 116 configuration 186 171, 165, 163, 154, Translation) Grapher) 193, 206 193, Grapher) 193 Base) 263

Index Les Cahiers de l’Admin – Sécuriser un réseau Linux nullclient 109, 110 109, nullclient 217 209, ServiceSwitch) (Name NSS 51 normaliser 197 26, 16, NMAP 77 deLinux d’exécution niveaux asduhniain61 PasswdAuthentication 62 passphrase 173 157, 154, 151, 138, 16, pare-feu 142 forgé paquet PAM (PluggableAuthentication P 34 outil d’analysederéseau System (Open OSI 229 openssl.cnf 54 openssl 228 OpenSSL 60 57, 58, 56, openssh 248 221, 210, OpenLDAP 56 openbsd 106 open relay O NIS (Network Information Detection Intrusion (Network NIDS 13 FileSystem) NFS (Network 209 Service Network Information 78 netstat 264 evu 244 serveur 219 maps 220 limites 241 installation 218 fonctionnement 244 219, domaine 242 configuration 245 client rtcl 56 protocole 57 openssh-server 57 openssh-clients 58 configuration 251 lancement 221 fonctionnement 249 configuration 255 254, 247, 216, 209, Modules) 35 Interconnection) 241 218, 217, 210, 209, Service) 201 System) règle dufirewall 139, 151 port registered 74 Hat Network Red Red Hat 25 rebond 223 realm 56 rcp 56 r-commandes 53 49, RC4, RC2, RC5 30 rc.d/ 184 RADIUS R ulcKyIfatutr 227 Key Public Infrastructure 61 PubkeyAuthentication 78 ps 171 154, 163, 148, proxy protocole 29, 35 promiscuous 70 profil 76, 78 processus 223 principal 12 PostgreSQL 16 poste detravail 28, 33, 38 porte dérobée port 54 pops 53, Key Infrastructure) PKI (Public 232 PKCS12 24 informatique pirate 225 pGINA 61 PermitEmptypasswords 79 permission 26 patch 169 (PortPAT Address Translation) NP195 SNMP 40 lprng faille ôe163 rôle 167, 181 ARP 2 (InternetProtocol) IP 79 poste detravail 139 well known 78 réseau 201 monitoring 139 dynamic 80 /tmp 227 éuié5 sécurité 54 partagé secret 56, 58,60 scp 26, 30, 197 scanner 26 2, scan 29 du sauvegarde système 183 fil sans S s 138 rst 56 rsh 61 RSAAuthentication 61 57, 53, 50, RSA 57,73 rpm 154 routeur 158 route 87 par routage la source 37, 38 33, rootkit root à RNIS (RéseauNumérique 56 rlogin 61 RhostsRSAAuthentication 61 RhostsAuthentication 74 Network) (RedHat RHN réseau 222 réplica 222 répartition de charge 42 Renater 54 relais eaeifraiu 2 menace informatique 2, 14 enjeu 4 systèmes des défaillance 26 vertical 39 26, horizontal 201 détection 0n38 t0rn 83 umask 83 PATH 82 /etc/securetty 160 privé virtuel 2 Milnet 2 Internet 2 Arpanet 54, 64 X11 106 ouvert 192 syslog nérto eSrie 3 Intégration deService) © Groupe Eyrolles,2003 © s 56,77 ssh 47, 106, 108 spam 156 sous-réseau 87,88, 140 source routing 164 SOCKS 201 snort 16 Snort SNMP (Simple Network Management Management (SimpleNetwork SNMP 29, 30, 33 sniffer 46 sniff 165 SNAT Transfer Mail (Simple SMTP 110 smmsp 224 Single Sign On 237 signer 47, 50, 193, 201 52, signature 79,80, 106 sgid 60 58, 56, sftp 12,59,75, 84 service serveur 16,105, 109, 106, 110 sendmail 153 segmentation © GroupeEyrolles, 2003 ddapb62 id_dsa.pub 62 id_dsa 60 configuration 58 config 60 compression 62 authorized_keys 58 /etc/ssh 201 sonde 201 détection de scan 201 configuration 195 configuration id81 find 80 danger 96 78, 77, réseau 79 état 78 70, désactivation 77 actif 139 (/etc/services) 16 interne 109 sendmail-cf 109 m4 109 activation 2 objectif Protocol) 193, 194 193, Protocol) 13, 104 Protocol) syslog 84, 190, 84, 190, 206 syslog 30 sysinit 88 SYN flooding 142 138, syn 190 Swatch 206 190, 192, surveillance 138 suivi deconnexion 106 80, 79, suid 81 sudoers 81 sudo 160 156, subnet 127 stunnel 80 sticky 50 stéganographie 28 static 142 stateless 143 stateful SSL (SecureSocket 58,61, 64 57, sshd 75, 76 16,54–65, SSH (Secure Shell) cdm 33 tcpdump C Tasi oto rtcl 13, Protocol) TCP (TransmitControl 10 Tamalo.com 204 tableau debord T rnprne192 transparence 192 réglementation 192 proportionnalité 82 nosuid 80 find 80 danger 81 alternative 82 /etc/fstab 129 configuration serveur 127 configuration sdcni 58 sshd_config 61 ssh-keygen 58 ssh_config 54 shell secure 60 relais 62 id_rsa.pub 62 id_rsa lg141, 147 flag 140 drapeau 228 139 Layer) 51–54, 132, 132, 51–54, Layer) vulnérabilité 15, 55, 140 55, 15, vulnérabilité unlcifé56 chiffré tunnel 206 193, 192, 16, Tripwire 60 transfert 165 traduction d’adresses 190 trace 154, 186 16, topologie 51, 228 TLS 54 telnet 83 16, TCPWrapper nx4 Unix 13, Protocol) Datagram (User UDP U f 79 xfs 64 X11 228 52, X.509 X 12 wu-ftpd 151 WU-FTPD 183 Wi-Fi 41 whois 107 whitelist 184 WEP 151 139, port well known 127 Webmail 125 web 25 2, warez W VLAN (Virtual Local Area 81 visudo 144 visioconférence 108 106, virus V a ot160 par port 161 par adresseMAC 163 limites Pals174 IPtables IE41 RIPE 41 ARIN 41 APNIC 125 vulnérabilité 125 protection 106 I loveyou 139, 193 139, ewr)160 Network) 265

Index xinetd 124 xinetd.d 30 Z xinetd.conf 30 zone démilitarisée 186