SlideShare une entreprise Scribd logo

LPIC1 11 01 sécurité réseaux

Télécharger en tant que ODP, PDF
N
Noël
Technologie
1  sur  17
Noël Macé Formateur et Consultant indépendant expert Unix et FOSS http://www.noelmace.com Sécurité Sécurité réseau Licence Creative Commons Ce(tte) œuvre est mise à disposition selon les termes de la Licence Creative Commons Attribution - Pas d’Utilisation Commerciale - Partage dans les Mêmes Conditions 3.0 France. Linux LPIC1 – Comptia Linux+ noelmace.com
Plan • Introduction • Rechercher les ports ouverts sur un serveur • Les super-serveurs • Inetd • Xinetd • Sécuriser xinetd • TCP Wrapper • Configuration du TCP Wrapper Linux LPIC1 – Comptia Linux+ noelmace.com
Introduction • nécessité de gérer les différents services • désactivation des serveurs inutiles • protection des serveurs utiles Linux LPIC1 – Comptia Linux+ noelmace.com
Outils d'analyse du réseau • nmap : scanner réseau • netstat : le couteau suisse des statuts réseau • tables de routage, stats des interfaces, etc .. • obsolète, mais encore très utilisé - destiné à être remplacé par ss et iproute2. • lsof : permet de lister les fichiers ouverts  ce qui incluse les connexions réseau Linux LPIC1 – Comptia Linux+ noelmace.com
Rechercher les ports ouverts sur un serveur • TCP connect scan $ nmap -sT hostname $ nmap -sT hostname • UDP scan $ nmap -sU hostname $ nmap -sU hostname • afficher les connections actives # netstat [-ap | -lp] # netstat [-ap | -lp]  -a : all -l : listening (n'afficher que les sockets à l'écoute)  -p : programme (affiche le PID et le nom du programme)  ou encore # lsof -i [46][protocol][@hostname|hostaddr][:service|port] # lsof -i [46][protocol][@hostname|hostaddr][:service|port]  exemple # lsof -i :ftp # lsof -i :ftp Linux LPIC1 – Comptia Linux+ noelmace.com
Désactiver les services inutiles • cf sysVinit scripts & runlevels  /etc/inittab • exemple : désactiver le login via modem S0:2345:respawn:/usr/sbin/mgetty -F -s 57600 /dev/ttyS0 • S0:2345:respawn:/usr/sbin/mgetty -F -s 57600 /dev/ttyS0  /etc/init.d • fichiers de configuration du super-serveur Linux LPIC1 – Comptia Linux+ noelmace.com
Les super-serveurs • Permettent de le lancer un service que si nécessaire  en réponse à une première demande de client réseaux • avantage  minimise le nombre de démons peu fréquemment utilisés  d'où économie de ressources • défaut  légère latence lors du démarrage • conseil : désactiver tout de même un maximum de services  "si je ne connais pas, je désactive" (en se documentant un peu avant tout de même) Linux LPIC1 – Comptia Linux+ noelmace.com
Les super-serveurs Linux LPIC1 – Comptia Linux+ noelmace.com
inetd • InterNET Daemon • /etc/inetd.conf + /etc/inetd.d/  une socket protocol (no)wait utilisateur programme args service socket protocol (no)wait utilisateur programme args service ligne par service  Exemple ftp stream tcp nowait root /usr/sbin/tcpd /usr/sbin/in.ftpd -l ftp stream tcp nowait root /usr/sbin/tcpd /usr/sbin/in.ftpd -l Linux LPIC1 – Comptia Linux+ noelmace.com
inetd.conf : détails • nom du service : cf /etc/services • wait|nowait  indique si le démon invoqué par inetd est capable ou non de gérer son propre socket  wait : fournir plusieurs sockets à un démon • type de socket : type de connection attendue  flux • (stream) nowait : un démon enfant pour chaquet nouveau socket • pour stream (raw) • utilisateur : sous lequel le démon est exécuté  généralement root  parfois (pour sécu) daemon ou nobody encapsulation directe dans IP - IGMP, OSPF, ICMP  paquets • pour dgram (dgram) non fiable - UDP  rangées •  bidirectionnelle fiable - TCP  datagram • • séquentiels (seqpacket) similaire à stream mais sans fragmentation des paquets • programme-serveur  tcp (tcp4), tcp6, udp (udp4), udp6, tcp46, udp46 chemin complet vers le démon  • protocole  internal si interne à inetd  peu être le TCP Wrapper (ex: tcpd) • arg  Linux LPIC1 – Comptia Linux+ arguments du programme noelmace.com
xinetd • eXtended InterNET Daemon  plus sécurisé • /etc/xinetd.conf + /etc/xinetd.d/  Exemple service ftp service ftp { { socket_type = stream socket_type = stream protocol = tcp protocol = tcp wait = no wait = no user = root user = root server = /usr/sbin/in.ftpd server = /usr/sbin/in.ftpd server_args = -l server_args = -l disable = yes disable = yes } } Linux LPIC1 – Comptia Linux+ noelmace.com
Sécuriser xinetd bind = adresse-IP bind = adresse-IP # n'écouter que sur une interface # n'écouter que sur une interface # surtout utile pour les routerus # surtout utile pour les routerus only-from = adresse-IP only-from = adresse-IP no-access = adresse-IP no-access = adresse-IP access-time = hh:mm-hh:mm access-time = hh:mm-hh:mm # heures durant lesquelles le serveur est accessible # heures durant lesquelles le serveur est accessible # attention : heure de login # attention : heure de login # ie. si quelqu'un se log à 16:59 il pourra continuer à # ie. si quelqu'un se log à 16:59 il pourra continuer à # l'utiliser ensuite # l'utiliser ensuite Linux LPIC1 – Comptia Linux+ noelmace.com
TCP Wrappers : introduction • permet de contrôler les accès aux démons réseaux  ACLs réseaux, basées sur l'hôte • nom, adresse IP (de sous-réseau) ou ident • ie. les tentatives de connexion sur une machine donnée • créé par Dutchman Wietse Venema - 1990  du Department of Mathematics and Computer Science - Eindhoven University of Technology (Pays-bas)  pour monitorer l'activité d'un cracker  maintenue jusqu'à 1995 • 1 juin 2001 : licence BSD • A l'origine, seulement disponible pour les super-serveurs  via tcpd  aujourd'hui disponible pour tout démon lié à la bibliothèque /usr/lib/libwrap.a • sshd, xinetd, sendmail, etc ... • avantages par rapport au contrôle d'accès intégrés aux démons  reconfiguration à chaud des règles de filtrage  pas besoin de redémarrer le démon  approche globale Linux LPIC1 – Comptia Linux+ noelmace.com
TCP Wrapper Linux LPIC1 – Comptia Linux+ noelmace.com
Configuration du TCP Wrapper • fichiers /etc/hosts.allow et hosts.deny daemon-list : client-list daemon-list : client-list • daemon-list : cf /etc/services  peut indiquer tout les démons : mot clé ALL • client-list : nom ou adresse IP  hôte •  nom ou adresse IP réseau • •  .nom ou adresse IP. exemples : .luna.edu ou 192.168.7. (ie 192.168.7.0/24) ALL • + EXCEPT (pour faire une exception)  exemple : 192.168.7. EXCEPT 192.168.7.105 Linux LPIC1 – Comptia Linux+ noelmace.com
Ce qu’on a couvert • sujet 110-01 : Effectuer des tâches d'administration de sécurité  Être capable d'utiliser nmap et netstat pour découvrir les ports ouverts sur un système. (nmap netstat lsof) • sujet 110-02 : Configurer la sécurité d'un hôte  Comprendre le rôle du TCP wrapper. (/etc/hosts.allow /etc/hosts.deny)  Désactiver les services réseau inutilisés. • /etc/xinetd.d/* /etc/xinetd.conf /etc/inetd.d/* /etc/inetd.conf • /etc/inittab /etc/init.d/* Linux LPIC1 – Comptia Linux+ noelmace.com
Licence Ce(tte) œuvre (y compris ses illustrations, sauf mention explicite) est mise à disposition selon les termes de la Licence Creative Commons Attribution - Pas d’Utilisation Commerciale - Partage dans les Mêmes Conditions 3.0 France. Pour voir une copie de cette licence, visitez http://creativecommons.org/licenses/by-nc-sa/3.0/fr/ ou écrivez à : Creative Commons, 444 Castro Street, Suite 900, Mountain View, California, 94041, USA. Vous êtes libre de :  partager — reproduire, distribuer et communiquer cette œuvre  remixer — adapter l’œuvre Selon les conditions suivantes :  Attribution — Vous devez clairement indiquer que ce document, ou tout document dérivé de celui, est (issu de) l’œuvre originale de Noël Macé (noelmace.com) (sans suggérer qu'il vous approuve, vous ou votre utilisation de l’œuvre, à moins d'en demander expressément la permission).  Pas d’Utilisation Commerciale — Vous n’avez pas le droit d’utiliser cette œuvre à des fins commerciales (ie. l'intention première ou l'objectif d'obtenir un avantage commercial ou une compensation financière privée). Pour obtenir ce droit, une autorisation explicite de l'auteur est requise.  Partage dans les Mêmes Conditions — Si vous modifiez, transformez ou adaptez cette œuvre, vous n’avez le droit de distribuer votre création que sous une licence identique ou similaire à celle-ci. Pour toute demande de collaboration, d'utilisation commerciale ou de publication de ce support ou d'un dérivé de celui-ci sous une licence incompatible, contacter l'auteur via les contacts indiqués sur le site http://www.noelmace.com. Vous êtes par ailleurs vivement encouragé (sans obligation légale) à communiquer avec celui-ci si vous réalisez une œuvre dérivée ou toute amélioration de ce support. Linux LPIC1 – Comptia Linux+ noelmace.com

Recommandé

LPIC1 07 11 introduction aux systèmes de fichiers
LPIC1 07 11 introduction aux systèmes de fichiersLPIC1 07 11 introduction aux systèmes de fichiers
LPIC1 07 11 introduction aux systèmes de fichiersNoël
 
LPIC1 11 02 sécurité système
LPIC1 11 02 sécurité systèmeLPIC1 11 02 sécurité système
LPIC1 11 02 sécurité systèmeNoël
 
LPIC1 10 02 temps
LPIC1 10 02 tempsLPIC1 10 02 temps
LPIC1 10 02 tempsNoël
 
LPIC1 09 01 intro
LPIC1 09 01 introLPIC1 09 01 intro
LPIC1 09 01 introNoël
 
LPIC1 10 05 at
LPIC1 10 05 atLPIC1 10 05 at
LPIC1 10 05 atNoël
 
LPIC1 09 06 kill
LPIC1 09 06 killLPIC1 09 06 kill
LPIC1 09 06 killNoël
 
LPIC1 08 05 runlevels
LPIC1 08 05 runlevelsLPIC1 08 05 runlevels
LPIC1 08 05 runlevelsNoël
 
présentation des services Open Source pour GNU/Linux
présentation des services Open Source pour GNU/Linuxprésentation des services Open Source pour GNU/Linux
présentation des services Open Source pour GNU/LinuxNoël
 

Recommandé

LPIC1 07 11 introduction aux systèmes de fichiers
LPIC1 07 11 introduction aux systèmes de fichiersLPIC1 07 11 introduction aux systèmes de fichiers
LPIC1 07 11 introduction aux systèmes de fichiersNoël
 
LPIC1 11 02 sécurité système
LPIC1 11 02 sécurité systèmeLPIC1 11 02 sécurité système
LPIC1 11 02 sécurité systèmeNoël
 
LPIC1 10 02 temps
LPIC1 10 02 tempsLPIC1 10 02 temps
LPIC1 10 02 tempsNoël
 
LPIC1 09 01 intro
LPIC1 09 01 introLPIC1 09 01 intro
LPIC1 09 01 introNoël
 
LPIC1 10 05 at
LPIC1 10 05 atLPIC1 10 05 at
LPIC1 10 05 atNoël
 
LPIC1 09 06 kill
LPIC1 09 06 killLPIC1 09 06 kill
LPIC1 09 06 killNoël
 
LPIC1 08 05 runlevels
LPIC1 08 05 runlevelsLPIC1 08 05 runlevels
LPIC1 08 05 runlevelsNoël
 
présentation des services Open Source pour GNU/Linux
présentation des services Open Source pour GNU/Linuxprésentation des services Open Source pour GNU/Linux
présentation des services Open Source pour GNU/LinuxNoël
 
07 02 création et maintenance de zones dns
07 02 création et maintenance de zones dns07 02 création et maintenance de zones dns
07 02 création et maintenance de zones dnsNoël
 
06 02 opérations de sauvegarde
06 02 opérations de sauvegarde06 02 opérations de sauvegarde
06 02 opérations de sauvegardeNoël
 
LPIC1 10 01 logs
LPIC1 10 01 logsLPIC1 10 01 logs
LPIC1 10 01 logsNoël
 
LPIC2 12 01 pare-feu et nating
LPIC2 12 01 pare-feu et natingLPIC2 12 01 pare-feu et nating
LPIC2 12 01 pare-feu et natingNoël
 
01 01 composants du noyau
01 01 composants du noyau01 01 composants du noyau
01 01 composants du noyauNoël
 
LPIC1 10 04 anacron
LPIC1 10 04 anacronLPIC1 10 04 anacron
LPIC1 10 04 anacronNoël
 
L’ Administration des Réseaux en Pratique
L’ Administration des Réseaux en PratiqueL’ Administration des Réseaux en Pratique
L’ Administration des Réseaux en PratiqueAmadou Dia
 
LPIC1 10 03 cron
LPIC1 10 03 cronLPIC1 10 03 cron
LPIC1 10 03 cronNoël
 
07 03 sécurisation d'un serveur dns
07 03 sécurisation d'un serveur dns07 03 sécurisation d'un serveur dns
07 03 sécurisation d'un serveur dnsNoël
 
LPIC1 08 03 grub2
LPIC1 08 03 grub2LPIC1 08 03 grub2
LPIC1 08 03 grub2Noël
 
LPIC1 09 05 priorités
LPIC1 09 05 prioritésLPIC1 09 05 priorités
LPIC1 09 05 prioritésNoël
 
LPIC1 08 01 démarrage
LPIC1 08 01 démarrageLPIC1 08 01 démarrage
LPIC1 08 01 démarrageNoël
 
LPIC1 09 04 bg fg
LPIC1 09 04 bg fgLPIC1 09 04 bg fg
LPIC1 09 04 bg fgNoël
 
07 01 configuration élémentaire d'un dns
07 01 configuration élémentaire d'un dns07 01 configuration élémentaire d'un dns
07 01 configuration élémentaire d'un dnsNoël
 
06 04 arp
06 04 arp06 04 arp
06 04 arpNoël
 
LPIC1 08 02 grub legacy
LPIC1 08 02 grub legacyLPIC1 08 02 grub legacy
LPIC1 08 02 grub legacyNoël
 
05 03 dépannage réseau
05 03 dépannage réseau05 03 dépannage réseau
05 03 dépannage réseauNoël
 
LPIC1 09 02 ps
LPIC1 09 02 psLPIC1 09 02 ps
LPIC1 09 02 psNoël
 
LPIC1 02 05 commandes internes
LPIC1 02 05 commandes internesLPIC1 02 05 commandes internes
LPIC1 02 05 commandes internesNoël
 
LPIC1 09 03 top
LPIC1 09 03 topLPIC1 09 03 top
LPIC1 09 03 topNoël
 
JunOS - Fondamentaux
JunOS - FondamentauxJunOS - Fondamentaux
JunOS - FondamentauxThomas Moegli
 
Peering et points d’échanges, rôles clés de l’internet
Peering et points d’échanges, rôles clés de l’internetPeering et points d’échanges, rôles clés de l’internet
Peering et points d’échanges, rôles clés de l’internetaurelienmartin
 

Contenu connexe

Tendances

07 02 création et maintenance de zones dns
07 02 création et maintenance de zones dns07 02 création et maintenance de zones dns
07 02 création et maintenance de zones dnsNoël
 
06 02 opérations de sauvegarde
06 02 opérations de sauvegarde06 02 opérations de sauvegarde
06 02 opérations de sauvegardeNoël
 
LPIC1 10 01 logs
LPIC1 10 01 logsLPIC1 10 01 logs
LPIC1 10 01 logsNoël
 
LPIC2 12 01 pare-feu et nating
LPIC2 12 01 pare-feu et natingLPIC2 12 01 pare-feu et nating
LPIC2 12 01 pare-feu et natingNoël
 
01 01 composants du noyau
01 01 composants du noyau01 01 composants du noyau
01 01 composants du noyauNoël
 
LPIC1 10 04 anacron
LPIC1 10 04 anacronLPIC1 10 04 anacron
LPIC1 10 04 anacronNoël
 
L’ Administration des Réseaux en Pratique
L’ Administration des Réseaux en PratiqueL’ Administration des Réseaux en Pratique
L’ Administration des Réseaux en PratiqueAmadou Dia
 
LPIC1 10 03 cron
LPIC1 10 03 cronLPIC1 10 03 cron
LPIC1 10 03 cronNoël
 
07 03 sécurisation d'un serveur dns
07 03 sécurisation d'un serveur dns07 03 sécurisation d'un serveur dns
07 03 sécurisation d'un serveur dnsNoël
 
LPIC1 08 03 grub2
LPIC1 08 03 grub2LPIC1 08 03 grub2
LPIC1 08 03 grub2Noël
 
LPIC1 09 05 priorités
LPIC1 09 05 prioritésLPIC1 09 05 priorités
LPIC1 09 05 prioritésNoël
 
LPIC1 08 01 démarrage
LPIC1 08 01 démarrageLPIC1 08 01 démarrage
LPIC1 08 01 démarrageNoël
 
LPIC1 09 04 bg fg
LPIC1 09 04 bg fgLPIC1 09 04 bg fg
LPIC1 09 04 bg fgNoël
 
07 01 configuration élémentaire d'un dns
07 01 configuration élémentaire d'un dns07 01 configuration élémentaire d'un dns
07 01 configuration élémentaire d'un dnsNoël
 
06 04 arp
06 04 arp06 04 arp
06 04 arpNoël
 
LPIC1 08 02 grub legacy
LPIC1 08 02 grub legacyLPIC1 08 02 grub legacy
LPIC1 08 02 grub legacyNoël
 
05 03 dépannage réseau
05 03 dépannage réseau05 03 dépannage réseau
05 03 dépannage réseauNoël
 
LPIC1 09 02 ps
LPIC1 09 02 psLPIC1 09 02 ps
LPIC1 09 02 psNoël
 
LPIC1 02 05 commandes internes
LPIC1 02 05 commandes internesLPIC1 02 05 commandes internes
LPIC1 02 05 commandes internesNoël
 
LPIC1 09 03 top
LPIC1 09 03 topLPIC1 09 03 top
LPIC1 09 03 topNoël
 

Tendances (20)

07 02 création et maintenance de zones dns
07 02 création et maintenance de zones dns07 02 création et maintenance de zones dns
07 02 création et maintenance de zones dns
 
06 02 opérations de sauvegarde
06 02 opérations de sauvegarde06 02 opérations de sauvegarde
06 02 opérations de sauvegarde
 
LPIC1 10 01 logs
LPIC1 10 01 logsLPIC1 10 01 logs
LPIC1 10 01 logs
 
LPIC2 12 01 pare-feu et nating
LPIC2 12 01 pare-feu et natingLPIC2 12 01 pare-feu et nating
LPIC2 12 01 pare-feu et nating
 
01 01 composants du noyau
01 01 composants du noyau01 01 composants du noyau
01 01 composants du noyau
 
LPIC1 10 04 anacron
LPIC1 10 04 anacronLPIC1 10 04 anacron
LPIC1 10 04 anacron
 
L’ Administration des Réseaux en Pratique
L’ Administration des Réseaux en PratiqueL’ Administration des Réseaux en Pratique
L’ Administration des Réseaux en Pratique
 
LPIC1 10 03 cron
LPIC1 10 03 cronLPIC1 10 03 cron
LPIC1 10 03 cron
 
07 03 sécurisation d'un serveur dns
07 03 sécurisation d'un serveur dns07 03 sécurisation d'un serveur dns
07 03 sécurisation d'un serveur dns
 
LPIC1 08 03 grub2
LPIC1 08 03 grub2LPIC1 08 03 grub2
LPIC1 08 03 grub2
 
LPIC1 09 05 priorités
LPIC1 09 05 prioritésLPIC1 09 05 priorités
LPIC1 09 05 priorités
 
LPIC1 08 01 démarrage
LPIC1 08 01 démarrageLPIC1 08 01 démarrage
LPIC1 08 01 démarrage
 
LPIC1 09 04 bg fg
LPIC1 09 04 bg fgLPIC1 09 04 bg fg
LPIC1 09 04 bg fg
 
07 01 configuration élémentaire d'un dns
07 01 configuration élémentaire d'un dns07 01 configuration élémentaire d'un dns
07 01 configuration élémentaire d'un dns
 
06 04 arp
06 04 arp06 04 arp
06 04 arp
 
LPIC1 08 02 grub legacy
LPIC1 08 02 grub legacyLPIC1 08 02 grub legacy
LPIC1 08 02 grub legacy
 
05 03 dépannage réseau
05 03 dépannage réseau05 03 dépannage réseau
05 03 dépannage réseau
 
LPIC1 09 02 ps
LPIC1 09 02 psLPIC1 09 02 ps
LPIC1 09 02 ps
 
LPIC1 02 05 commandes internes
LPIC1 02 05 commandes internesLPIC1 02 05 commandes internes
LPIC1 02 05 commandes internes
 
LPIC1 09 03 top
LPIC1 09 03 topLPIC1 09 03 top
LPIC1 09 03 top
 

En vedette

JunOS - Fondamentaux
JunOS - FondamentauxJunOS - Fondamentaux
JunOS - FondamentauxThomas Moegli
 
Peering et points d’échanges, rôles clés de l’internet
Peering et points d’échanges, rôles clés de l’internetPeering et points d’échanges, rôles clés de l’internet
Peering et points d’échanges, rôles clés de l’internetaurelienmartin
 
Les attaques reseaux par zellagui Amine
Les attaques reseaux par zellagui AmineLes attaques reseaux par zellagui Amine
Les attaques reseaux par zellagui AmineZellagui Amine
 
06 03 route
06 03 route06 03 route
06 03 routeNoël
 
06 05 résolution de nom
06 05 résolution de nom06 05 résolution de nom
06 05 résolution de nomNoël
 
06 01 interfaces
06 01 interfaces06 01 interfaces
06 01 interfacesNoël
 
امتحانات ترم اول 2012 2013
امتحانات ترم اول 2012 2013امتحانات ترم اول 2012 2013
امتحانات ترم اول 2012 2013أمنية وجدى
 
08 03 sécurisation d'un serveur web avec ssl
08 03 sécurisation d'un serveur web avec ssl08 03 sécurisation d'un serveur web avec ssl
08 03 sécurisation d'un serveur web avec sslNoël
 
SSL/TLS : Faille Heartbleed
SSL/TLS : Faille HeartbleedSSL/TLS : Faille Heartbleed
SSL/TLS : Faille HeartbleedThomas Moegli
 
Waf, le bon outil, la bonne administration
Waf, le bon outil, la bonne administration Waf, le bon outil, la bonne administration
Waf, le bon outil, la bonne administration Bee_Ware
 
10 02 authentification PAM
10 02 authentification PAM10 02 authentification PAM
10 02 authentification PAMNoël
 
08 01 mise en place d'un serveur web
08 01 mise en place d'un serveur web08 01 mise en place d'un serveur web
08 01 mise en place d'un serveur webNoël
 
08 04 mise en place d'un serveur mandataire (proxy)
08 04 mise en place d'un serveur mandataire (proxy)08 04 mise en place d'un serveur mandataire (proxy)
08 04 mise en place d'un serveur mandataire (proxy)Noël
 

En vedette (14)

JunOS - Fondamentaux
JunOS - FondamentauxJunOS - Fondamentaux
JunOS - Fondamentaux
 
Peering et points d’échanges, rôles clés de l’internet
Peering et points d’échanges, rôles clés de l’internetPeering et points d’échanges, rôles clés de l’internet
Peering et points d’échanges, rôles clés de l’internet
 
Les attaques reseaux par zellagui Amine
Les attaques reseaux par zellagui AmineLes attaques reseaux par zellagui Amine
Les attaques reseaux par zellagui Amine
 
06 03 route
06 03 route06 03 route
06 03 route
 
06 05 résolution de nom
06 05 résolution de nom06 05 résolution de nom
06 05 résolution de nom
 
06 01 interfaces
06 01 interfaces06 01 interfaces
06 01 interfaces
 
امتحانات ترم اول 2012 2013
امتحانات ترم اول 2012 2013امتحانات ترم اول 2012 2013
امتحانات ترم اول 2012 2013
 
08 03 sécurisation d'un serveur web avec ssl
08 03 sécurisation d'un serveur web avec ssl08 03 sécurisation d'un serveur web avec ssl
08 03 sécurisation d'un serveur web avec ssl
 
Ethical Hacking
Ethical HackingEthical Hacking
Ethical Hacking
 
SSL/TLS : Faille Heartbleed
SSL/TLS : Faille HeartbleedSSL/TLS : Faille Heartbleed
SSL/TLS : Faille Heartbleed
 
Waf, le bon outil, la bonne administration
Waf, le bon outil, la bonne administration Waf, le bon outil, la bonne administration
Waf, le bon outil, la bonne administration
 
10 02 authentification PAM
10 02 authentification PAM10 02 authentification PAM
10 02 authentification PAM
 
08 01 mise en place d'un serveur web
08 01 mise en place d'un serveur web08 01 mise en place d'un serveur web
08 01 mise en place d'un serveur web
 
08 04 mise en place d'un serveur mandataire (proxy)
08 04 mise en place d'un serveur mandataire (proxy)08 04 mise en place d'un serveur mandataire (proxy)
08 04 mise en place d'un serveur mandataire (proxy)
 

Similaire à LPIC1 11 01 sécurité réseaux

05 02 surveillance et analyse de traffic tcpip
05 02 surveillance et analyse de traffic tcpip05 02 surveillance et analyse de traffic tcpip
05 02 surveillance et analyse de traffic tcpipNoël
 
09 02 configuration du serveur nfs
09 02 configuration du serveur nfs09 02 configuration du serveur nfs
09 02 configuration du serveur nfsNoël
 
09 01 configuration du serveur samba
09 01 configuration du serveur samba09 01 configuration du serveur samba
09 01 configuration du serveur sambaNoël
 
06 02 ip
06 02 ip06 02 ip
06 02 ipNoël
 
LPIC1 07 02 procfs
LPIC1 07 02 procfsLPIC1 07 02 procfs
LPIC1 07 02 procfsNoël
 
LPIC1 05 04 droits d'accès posix
LPIC1 05 04 droits d'accès posixLPIC1 05 04 droits d'accès posix
LPIC1 05 04 droits d'accès posixNoël
 
10 01 configuration dhcp
10 01 configuration dhcp10 01 configuration dhcp
10 01 configuration dhcpNoël
 
LPIC1 05 02 Filesystem Hierarchy Standard
LPIC1 05 02 Filesystem Hierarchy StandardLPIC1 05 02 Filesystem Hierarchy Standard
LPIC1 05 02 Filesystem Hierarchy StandardNoël
 
LPIC1 04 02 RPM Package Manager
LPIC1 04 02 RPM Package ManagerLPIC1 04 02 RPM Package Manager
LPIC1 04 02 RPM Package ManagerNoël
 
06 03 notification aux utilisateurs des problèmes système
06 03 notification aux utilisateurs des problèmes système06 03 notification aux utilisateurs des problèmes système
06 03 notification aux utilisateurs des problèmes systèmeNoël
 
05 01 open-vpn
05 01 open-vpn05 01 open-vpn
05 01 open-vpnNoël
 
Lin03 formation-linux-administration-bases-services
Lin03 formation-linux-administration-bases-servicesLin03 formation-linux-administration-bases-services
Lin03 formation-linux-administration-bases-servicesCERTyou Formation
 
01 04 compilation du noyau
01 04 compilation du noyau01 04 compilation du noyau
01 04 compilation du noyauNoël
 
Apache Kafka, Un système distribué de messagerie hautement performant
Apache Kafka, Un système distribué de messagerie hautement performantApache Kafka, Un système distribué de messagerie hautement performant
Apache Kafka, Un système distribué de messagerie hautement performantALTIC Altic
 
11 02 distribution locale des courriels
11 02 distribution locale des courriels11 02 distribution locale des courriels
11 02 distribution locale des courrielsNoël
 
04 02 ajustement des accès aux périphériques de stockage
04 02 ajustement des accès aux périphériques de stockage04 02 ajustement des accès aux périphériques de stockage
04 02 ajustement des accès aux périphériques de stockageNoël
 
02 02 linux standard base
02 02 linux standard base02 02 linux standard base
02 02 linux standard baseNoël
 
04 03 logical volume manager
04 03 logical volume manager04 03 logical volume manager
04 03 logical volume managerNoël
 
LPIC1 05 07 quotas
LPIC1 05 07 quotasLPIC1 05 07 quotas
LPIC1 05 07 quotasNoël
 

Similaire à LPIC1 11 01 sécurité réseaux (20)

05 02 surveillance et analyse de traffic tcpip
05 02 surveillance et analyse de traffic tcpip05 02 surveillance et analyse de traffic tcpip
05 02 surveillance et analyse de traffic tcpip
 
09 02 configuration du serveur nfs
09 02 configuration du serveur nfs09 02 configuration du serveur nfs
09 02 configuration du serveur nfs
 
09 01 configuration du serveur samba
09 01 configuration du serveur samba09 01 configuration du serveur samba
09 01 configuration du serveur samba
 
06 02 ip
06 02 ip06 02 ip
06 02 ip
 
LPIC1 07 02 procfs
LPIC1 07 02 procfsLPIC1 07 02 procfs
LPIC1 07 02 procfs
 
LPIC1 05 04 droits d'accès posix
LPIC1 05 04 droits d'accès posixLPIC1 05 04 droits d'accès posix
LPIC1 05 04 droits d'accès posix
 
10 01 configuration dhcp
10 01 configuration dhcp10 01 configuration dhcp
10 01 configuration dhcp
 
LPIC1 05 02 Filesystem Hierarchy Standard
LPIC1 05 02 Filesystem Hierarchy StandardLPIC1 05 02 Filesystem Hierarchy Standard
LPIC1 05 02 Filesystem Hierarchy Standard
 
LPIC1 04 02 RPM Package Manager
LPIC1 04 02 RPM Package ManagerLPIC1 04 02 RPM Package Manager
LPIC1 04 02 RPM Package Manager
 
06 03 notification aux utilisateurs des problèmes système
06 03 notification aux utilisateurs des problèmes système06 03 notification aux utilisateurs des problèmes système
06 03 notification aux utilisateurs des problèmes système
 
05 01 open-vpn
05 01 open-vpn05 01 open-vpn
05 01 open-vpn
 
Lin03 formation-linux-administration-bases-services
Lin03 formation-linux-administration-bases-servicesLin03 formation-linux-administration-bases-services
Lin03 formation-linux-administration-bases-services
 
01 04 compilation du noyau
01 04 compilation du noyau01 04 compilation du noyau
01 04 compilation du noyau
 
Apache kafka big data track
Apache kafka big data trackApache kafka big data track
Apache kafka big data track
 
Apache Kafka, Un système distribué de messagerie hautement performant
Apache Kafka, Un système distribué de messagerie hautement performantApache Kafka, Un système distribué de messagerie hautement performant
Apache Kafka, Un système distribué de messagerie hautement performant
 
11 02 distribution locale des courriels
11 02 distribution locale des courriels11 02 distribution locale des courriels
11 02 distribution locale des courriels
 
04 02 ajustement des accès aux périphériques de stockage
04 02 ajustement des accès aux périphériques de stockage04 02 ajustement des accès aux périphériques de stockage
04 02 ajustement des accès aux périphériques de stockage
 
02 02 linux standard base
02 02 linux standard base02 02 linux standard base
02 02 linux standard base
 
04 03 logical volume manager
04 03 logical volume manager04 03 logical volume manager
04 03 logical volume manager
 
LPIC1 05 07 quotas
LPIC1 05 07 quotasLPIC1 05 07 quotas
LPIC1 05 07 quotas
 

Plus de Noël

LPIC1 07 14 mount
LPIC1 07 14 mountLPIC1 07 14 mount
LPIC1 07 14 mountNoël
 
LPIC1 07 13 fsck
LPIC1 07 13 fsckLPIC1 07 13 fsck
LPIC1 07 13 fsckNoël
 
LPIC1 07 18 debugfs
LPIC1 07 18 debugfsLPIC1 07 18 debugfs
LPIC1 07 18 debugfsNoël
 
LPIC1 07 17 tune2fs
LPIC1 07 17 tune2fsLPIC1 07 17 tune2fs
LPIC1 07 17 tune2fsNoël
 
LPIC1 07 16 dumpe2fs
LPIC1 07 16 dumpe2fsLPIC1 07 16 dumpe2fs
LPIC1 07 16 dumpe2fsNoël
 
LPIC1 07 12 formatage
LPIC1 07 12 formatageLPIC1 07 12 formatage
LPIC1 07 12 formatageNoël
 
LPIC1 07 10 GNU parted
LPIC1 07 10 GNU partedLPIC1 07 10 GNU parted
LPIC1 07 10 GNU partedNoël
 
LPIC1 07 09 fdisk
LPIC1 07 09 fdiskLPIC1 07 09 fdisk
LPIC1 07 09 fdiskNoël
 
LPIC1 07 08 partitionning
LPIC1 07 08 partitionningLPIC1 07 08 partitionning
LPIC1 07 08 partitionningNoël
 
LPIC1 07 07 introduction à la gestion des disques durs
LPIC1 07 07 introduction à la gestion des disques dursLPIC1 07 07 introduction à la gestion des disques durs
LPIC1 07 07 introduction à la gestion des disques dursNoël
 
LPIC1 07 06 modules
LPIC1 07 06 modulesLPIC1 07 06 modules
LPIC1 07 06 modulesNoël
 

Plus de Noël (11)

LPIC1 07 14 mount
LPIC1 07 14 mountLPIC1 07 14 mount
LPIC1 07 14 mount
 
LPIC1 07 13 fsck
LPIC1 07 13 fsckLPIC1 07 13 fsck
LPIC1 07 13 fsck
 
LPIC1 07 18 debugfs
LPIC1 07 18 debugfsLPIC1 07 18 debugfs
LPIC1 07 18 debugfs
 
LPIC1 07 17 tune2fs
LPIC1 07 17 tune2fsLPIC1 07 17 tune2fs
LPIC1 07 17 tune2fs
 
LPIC1 07 16 dumpe2fs
LPIC1 07 16 dumpe2fsLPIC1 07 16 dumpe2fs
LPIC1 07 16 dumpe2fs
 
LPIC1 07 12 formatage
LPIC1 07 12 formatageLPIC1 07 12 formatage
LPIC1 07 12 formatage
 
LPIC1 07 10 GNU parted
LPIC1 07 10 GNU partedLPIC1 07 10 GNU parted
LPIC1 07 10 GNU parted
 
LPIC1 07 09 fdisk
LPIC1 07 09 fdiskLPIC1 07 09 fdisk
LPIC1 07 09 fdisk
 
LPIC1 07 08 partitionning
LPIC1 07 08 partitionningLPIC1 07 08 partitionning
LPIC1 07 08 partitionning
 
LPIC1 07 07 introduction à la gestion des disques durs
LPIC1 07 07 introduction à la gestion des disques dursLPIC1 07 07 introduction à la gestion des disques durs
LPIC1 07 07 introduction à la gestion des disques durs
 
LPIC1 07 06 modules
LPIC1 07 06 modulesLPIC1 07 06 modules
LPIC1 07 06 modules
 

LPIC1 11 01 sécurité réseaux

  • 1. Noël Macé Formateur et Consultant indépendant expert Unix et FOSS http://www.noelmace.com Sécurité Sécurité réseau Licence Creative Commons Ce(tte) œuvre est mise à disposition selon les termes de la Licence Creative Commons Attribution - Pas d’Utilisation Commerciale - Partage dans les Mêmes Conditions 3.0 France. Linux LPIC1 – Comptia Linux+ noelmace.com
  • 2. Plan • Introduction • Rechercher les ports ouverts sur un serveur • Les super-serveurs • Inetd • Xinetd • Sécuriser xinetd • TCP Wrapper • Configuration du TCP Wrapper Linux LPIC1 – Comptia Linux+ noelmace.com
  • 3. Introduction • nécessité de gérer les différents services • désactivation des serveurs inutiles • protection des serveurs utiles Linux LPIC1 – Comptia Linux+ noelmace.com
  • 4. Outils d'analyse du réseau • nmap : scanner réseau • netstat : le couteau suisse des statuts réseau • tables de routage, stats des interfaces, etc .. • obsolète, mais encore très utilisé - destiné à être remplacé par ss et iproute2. • lsof : permet de lister les fichiers ouverts  ce qui incluse les connexions réseau Linux LPIC1 – Comptia Linux+ noelmace.com
  • 5. Rechercher les ports ouverts sur un serveur • TCP connect scan $ nmap -sT hostname $ nmap -sT hostname • UDP scan $ nmap -sU hostname $ nmap -sU hostname • afficher les connections actives # netstat [-ap | -lp] # netstat [-ap | -lp]  -a : all -l : listening (n'afficher que les sockets à l'écoute)  -p : programme (affiche le PID et le nom du programme)  ou encore # lsof -i [46][protocol][@hostname|hostaddr][:service|port] # lsof -i [46][protocol][@hostname|hostaddr][:service|port]  exemple # lsof -i :ftp # lsof -i :ftp Linux LPIC1 – Comptia Linux+ noelmace.com
  • 6. Désactiver les services inutiles • cf sysVinit scripts & runlevels  /etc/inittab • exemple : désactiver le login via modem S0:2345:respawn:/usr/sbin/mgetty -F -s 57600 /dev/ttyS0 • S0:2345:respawn:/usr/sbin/mgetty -F -s 57600 /dev/ttyS0  /etc/init.d • fichiers de configuration du super-serveur Linux LPIC1 – Comptia Linux+ noelmace.com
  • 7. Les super-serveurs • Permettent de le lancer un service que si nécessaire  en réponse à une première demande de client réseaux • avantage  minimise le nombre de démons peu fréquemment utilisés  d'où économie de ressources • défaut  légère latence lors du démarrage • conseil : désactiver tout de même un maximum de services  "si je ne connais pas, je désactive" (en se documentant un peu avant tout de même) Linux LPIC1 – Comptia Linux+ noelmace.com
  • 8. Les super-serveurs Linux LPIC1 – Comptia Linux+ noelmace.com
  • 9. inetd • InterNET Daemon • /etc/inetd.conf + /etc/inetd.d/  une socket protocol (no)wait utilisateur programme args service socket protocol (no)wait utilisateur programme args service ligne par service  Exemple ftp stream tcp nowait root /usr/sbin/tcpd /usr/sbin/in.ftpd -l ftp stream tcp nowait root /usr/sbin/tcpd /usr/sbin/in.ftpd -l Linux LPIC1 – Comptia Linux+ noelmace.com
  • 10. inetd.conf : détails • nom du service : cf /etc/services • wait|nowait  indique si le démon invoqué par inetd est capable ou non de gérer son propre socket  wait : fournir plusieurs sockets à un démon • type de socket : type de connection attendue  flux • (stream) nowait : un démon enfant pour chaquet nouveau socket • pour stream (raw) • utilisateur : sous lequel le démon est exécuté  généralement root  parfois (pour sécu) daemon ou nobody encapsulation directe dans IP - IGMP, OSPF, ICMP  paquets • pour dgram (dgram) non fiable - UDP  rangées •  bidirectionnelle fiable - TCP  datagram • • séquentiels (seqpacket) similaire à stream mais sans fragmentation des paquets • programme-serveur  tcp (tcp4), tcp6, udp (udp4), udp6, tcp46, udp46 chemin complet vers le démon  • protocole  internal si interne à inetd  peu être le TCP Wrapper (ex: tcpd) • arg  Linux LPIC1 – Comptia Linux+ arguments du programme noelmace.com
  • 11. xinetd • eXtended InterNET Daemon  plus sécurisé • /etc/xinetd.conf + /etc/xinetd.d/  Exemple service ftp service ftp { { socket_type = stream socket_type = stream protocol = tcp protocol = tcp wait = no wait = no user = root user = root server = /usr/sbin/in.ftpd server = /usr/sbin/in.ftpd server_args = -l server_args = -l disable = yes disable = yes } } Linux LPIC1 – Comptia Linux+ noelmace.com
  • 12. Sécuriser xinetd bind = adresse-IP bind = adresse-IP # n'écouter que sur une interface # n'écouter que sur une interface # surtout utile pour les routerus # surtout utile pour les routerus only-from = adresse-IP only-from = adresse-IP no-access = adresse-IP no-access = adresse-IP access-time = hh:mm-hh:mm access-time = hh:mm-hh:mm # heures durant lesquelles le serveur est accessible # heures durant lesquelles le serveur est accessible # attention : heure de login # attention : heure de login # ie. si quelqu'un se log à 16:59 il pourra continuer à # ie. si quelqu'un se log à 16:59 il pourra continuer à # l'utiliser ensuite # l'utiliser ensuite Linux LPIC1 – Comptia Linux+ noelmace.com
  • 13. TCP Wrappers : introduction • permet de contrôler les accès aux démons réseaux  ACLs réseaux, basées sur l'hôte • nom, adresse IP (de sous-réseau) ou ident • ie. les tentatives de connexion sur une machine donnée • créé par Dutchman Wietse Venema - 1990  du Department of Mathematics and Computer Science - Eindhoven University of Technology (Pays-bas)  pour monitorer l'activité d'un cracker  maintenue jusqu'à 1995 • 1 juin 2001 : licence BSD • A l'origine, seulement disponible pour les super-serveurs  via tcpd  aujourd'hui disponible pour tout démon lié à la bibliothèque /usr/lib/libwrap.a • sshd, xinetd, sendmail, etc ... • avantages par rapport au contrôle d'accès intégrés aux démons  reconfiguration à chaud des règles de filtrage  pas besoin de redémarrer le démon  approche globale Linux LPIC1 – Comptia Linux+ noelmace.com
  • 14. TCP Wrapper Linux LPIC1 – Comptia Linux+ noelmace.com
  • 15. Configuration du TCP Wrapper • fichiers /etc/hosts.allow et hosts.deny daemon-list : client-list daemon-list : client-list • daemon-list : cf /etc/services  peut indiquer tout les démons : mot clé ALL • client-list : nom ou adresse IP  hôte •  nom ou adresse IP réseau • •  .nom ou adresse IP. exemples : .luna.edu ou 192.168.7. (ie 192.168.7.0/24) ALL • + EXCEPT (pour faire une exception)  exemple : 192.168.7. EXCEPT 192.168.7.105 Linux LPIC1 – Comptia Linux+ noelmace.com
  • 16. Ce qu’on a couvert • sujet 110-01 : Effectuer des tâches d'administration de sécurité  Être capable d'utiliser nmap et netstat pour découvrir les ports ouverts sur un système. (nmap netstat lsof) • sujet 110-02 : Configurer la sécurité d'un hôte  Comprendre le rôle du TCP wrapper. (/etc/hosts.allow /etc/hosts.deny)  Désactiver les services réseau inutilisés. • /etc/xinetd.d/* /etc/xinetd.conf /etc/inetd.d/* /etc/inetd.conf • /etc/inittab /etc/init.d/* Linux LPIC1 – Comptia Linux+ noelmace.com
  • 17. Licence Ce(tte) œuvre (y compris ses illustrations, sauf mention explicite) est mise à disposition selon les termes de la Licence Creative Commons Attribution - Pas d’Utilisation Commerciale - Partage dans les Mêmes Conditions 3.0 France. Pour voir une copie de cette licence, visitez http://creativecommons.org/licenses/by-nc-sa/3.0/fr/ ou écrivez à : Creative Commons, 444 Castro Street, Suite 900, Mountain View, California, 94041, USA. Vous êtes libre de :  partager — reproduire, distribuer et communiquer cette œuvre  remixer — adapter l’œuvre Selon les conditions suivantes :  Attribution — Vous devez clairement indiquer que ce document, ou tout document dérivé de celui, est (issu de) l’œuvre originale de Noël Macé (noelmace.com) (sans suggérer qu'il vous approuve, vous ou votre utilisation de l’œuvre, à moins d'en demander expressément la permission).  Pas d’Utilisation Commerciale — Vous n’avez pas le droit d’utiliser cette œuvre à des fins commerciales (ie. l'intention première ou l'objectif d'obtenir un avantage commercial ou une compensation financière privée). Pour obtenir ce droit, une autorisation explicite de l'auteur est requise.  Partage dans les Mêmes Conditions — Si vous modifiez, transformez ou adaptez cette œuvre, vous n’avez le droit de distribuer votre création que sous une licence identique ou similaire à celle-ci. Pour toute demande de collaboration, d'utilisation commerciale ou de publication de ce support ou d'un dérivé de celui-ci sous une licence incompatible, contacter l'auteur via les contacts indiqués sur le site http://www.noelmace.com. Vous êtes par ailleurs vivement encouragé (sans obligation légale) à communiquer avec celui-ci si vous réalisez une œuvre dérivée ou toute amélioration de ce support. Linux LPIC1 – Comptia Linux+ noelmace.com