• Share
  • Email
  • Embed
  • Like
  • Save
  • Private Content
LPIC1 11 01 sécurité réseaux
 

LPIC1 11 01 sécurité réseaux

on

  • 201 views

 

Statistics

Views

Total Views
201
Views on SlideShare
199
Embed Views
2

Actions

Likes
0
Downloads
14
Comments
0

1 Embed 2

http://blog.noelmace.com 2

Accessibility

Categories

Upload Details

Uploaded via as OpenOffice

Usage Rights

CC Attribution-NonCommercial-ShareAlike LicenseCC Attribution-NonCommercial-ShareAlike LicenseCC Attribution-NonCommercial-ShareAlike License

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

    LPIC1 11 01 sécurité réseaux LPIC1 11 01 sécurité réseaux Presentation Transcript

    • Noël Macé Formateur et Consultant indépendant expert Unix et FOSS http://www.noelmace.com Sécurité Sécurité réseau Licence Creative Commons Ce(tte) œuvre est mise à disposition selon les termes de la Licence Creative Commons Attribution - Pas d’Utilisation Commerciale - Partage dans les Mêmes Conditions 3.0 France. Linux LPIC1 – Comptia Linux+ noelmace.com
    • Plan • Introduction • Rechercher les ports ouverts sur un serveur • Les super-serveurs • Inetd • Xinetd • Sécuriser xinetd • TCP Wrapper • Configuration du TCP Wrapper Linux LPIC1 – Comptia Linux+ noelmace.com
    • Introduction • nécessité de gérer les différents services • désactivation des serveurs inutiles • protection des serveurs utiles Linux LPIC1 – Comptia Linux+ noelmace.com
    • Outils d'analyse du réseau • nmap : scanner réseau • netstat : le couteau suisse des statuts réseau • tables de routage, stats des interfaces, etc .. • obsolète, mais encore très utilisé - destiné à être remplacé par ss et iproute2. • lsof : permet de lister les fichiers ouverts  ce qui incluse les connexions réseau Linux LPIC1 – Comptia Linux+ noelmace.com
    • Rechercher les ports ouverts sur un serveur • TCP connect scan $ nmap -sT hostname $ nmap -sT hostname • UDP scan $ nmap -sU hostname $ nmap -sU hostname • afficher les connections actives # netstat [-ap | -lp] # netstat [-ap | -lp]  -a : all -l : listening (n'afficher que les sockets à l'écoute)  -p : programme (affiche le PID et le nom du programme)  ou encore # lsof -i [46][protocol][@hostname|hostaddr][:service|port] # lsof -i [46][protocol][@hostname|hostaddr][:service|port]  exemple # lsof -i :ftp # lsof -i :ftp Linux LPIC1 – Comptia Linux+ noelmace.com
    • Désactiver les services inutiles • cf sysVinit scripts & runlevels  /etc/inittab • exemple : désactiver le login via modem S0:2345:respawn:/usr/sbin/mgetty -F -s 57600 /dev/ttyS0 • S0:2345:respawn:/usr/sbin/mgetty -F -s 57600 /dev/ttyS0  /etc/init.d • fichiers de configuration du super-serveur Linux LPIC1 – Comptia Linux+ noelmace.com
    • Les super-serveurs • Permettent de le lancer un service que si nécessaire  en réponse à une première demande de client réseaux • avantage  minimise le nombre de démons peu fréquemment utilisés  d'où économie de ressources • défaut  légère latence lors du démarrage • conseil : désactiver tout de même un maximum de services  "si je ne connais pas, je désactive" (en se documentant un peu avant tout de même) Linux LPIC1 – Comptia Linux+ noelmace.com
    • Les super-serveurs Linux LPIC1 – Comptia Linux+ noelmace.com
    • inetd • InterNET Daemon • /etc/inetd.conf + /etc/inetd.d/  une socket protocol (no)wait utilisateur programme args service socket protocol (no)wait utilisateur programme args service ligne par service  Exemple ftp stream tcp nowait root /usr/sbin/tcpd /usr/sbin/in.ftpd -l ftp stream tcp nowait root /usr/sbin/tcpd /usr/sbin/in.ftpd -l Linux LPIC1 – Comptia Linux+ noelmace.com
    • inetd.conf : détails • nom du service : cf /etc/services • wait|nowait  indique si le démon invoqué par inetd est capable ou non de gérer son propre socket  wait : fournir plusieurs sockets à un démon • type de socket : type de connection attendue  flux • (stream) nowait : un démon enfant pour chaquet nouveau socket • pour stream (raw) • utilisateur : sous lequel le démon est exécuté  généralement root  parfois (pour sécu) daemon ou nobody encapsulation directe dans IP - IGMP, OSPF, ICMP  paquets • pour dgram (dgram) non fiable - UDP  rangées •  bidirectionnelle fiable - TCP  datagram • • séquentiels (seqpacket) similaire à stream mais sans fragmentation des paquets • programme-serveur  tcp (tcp4), tcp6, udp (udp4), udp6, tcp46, udp46 chemin complet vers le démon  • protocole  internal si interne à inetd  peu être le TCP Wrapper (ex: tcpd) • arg  Linux LPIC1 – Comptia Linux+ arguments du programme noelmace.com
    • xinetd • eXtended InterNET Daemon  plus sécurisé • /etc/xinetd.conf + /etc/xinetd.d/  Exemple service ftp service ftp { { socket_type = stream socket_type = stream protocol = tcp protocol = tcp wait = no wait = no user = root user = root server = /usr/sbin/in.ftpd server = /usr/sbin/in.ftpd server_args = -l server_args = -l disable = yes disable = yes } } Linux LPIC1 – Comptia Linux+ noelmace.com
    • Sécuriser xinetd bind = adresse-IP bind = adresse-IP # n'écouter que sur une interface # n'écouter que sur une interface # surtout utile pour les routerus # surtout utile pour les routerus only-from = adresse-IP only-from = adresse-IP no-access = adresse-IP no-access = adresse-IP access-time = hh:mm-hh:mm access-time = hh:mm-hh:mm # heures durant lesquelles le serveur est accessible # heures durant lesquelles le serveur est accessible # attention : heure de login # attention : heure de login # ie. si quelqu'un se log à 16:59 il pourra continuer à # ie. si quelqu'un se log à 16:59 il pourra continuer à # l'utiliser ensuite # l'utiliser ensuite Linux LPIC1 – Comptia Linux+ noelmace.com
    • TCP Wrappers : introduction • permet de contrôler les accès aux démons réseaux  ACLs réseaux, basées sur l'hôte • nom, adresse IP (de sous-réseau) ou ident • ie. les tentatives de connexion sur une machine donnée • créé par Dutchman Wietse Venema - 1990  du Department of Mathematics and Computer Science - Eindhoven University of Technology (Pays-bas)  pour monitorer l'activité d'un cracker  maintenue jusqu'à 1995 • 1 juin 2001 : licence BSD • A l'origine, seulement disponible pour les super-serveurs  via tcpd  aujourd'hui disponible pour tout démon lié à la bibliothèque /usr/lib/libwrap.a • sshd, xinetd, sendmail, etc ... • avantages par rapport au contrôle d'accès intégrés aux démons  reconfiguration à chaud des règles de filtrage  pas besoin de redémarrer le démon  approche globale Linux LPIC1 – Comptia Linux+ noelmace.com
    • TCP Wrapper Linux LPIC1 – Comptia Linux+ noelmace.com
    • Configuration du TCP Wrapper • fichiers /etc/hosts.allow et hosts.deny daemon-list : client-list daemon-list : client-list • daemon-list : cf /etc/services  peut indiquer tout les démons : mot clé ALL • client-list : nom ou adresse IP  hôte •  nom ou adresse IP réseau • •  .nom ou adresse IP. exemples : .luna.edu ou 192.168.7. (ie 192.168.7.0/24) ALL • + EXCEPT (pour faire une exception)  exemple : 192.168.7. EXCEPT 192.168.7.105 Linux LPIC1 – Comptia Linux+ noelmace.com
    • Ce qu’on a couvert • sujet 110-01 : Effectuer des tâches d'administration de sécurité  Être capable d'utiliser nmap et netstat pour découvrir les ports ouverts sur un système. (nmap netstat lsof) • sujet 110-02 : Configurer la sécurité d'un hôte  Comprendre le rôle du TCP wrapper. (/etc/hosts.allow /etc/hosts.deny)  Désactiver les services réseau inutilisés. • /etc/xinetd.d/* /etc/xinetd.conf /etc/inetd.d/* /etc/inetd.conf • /etc/inittab /etc/init.d/* Linux LPIC1 – Comptia Linux+ noelmace.com
    • Licence Ce(tte) œuvre (y compris ses illustrations, sauf mention explicite) est mise à disposition selon les termes de la Licence Creative Commons Attribution - Pas d’Utilisation Commerciale - Partage dans les Mêmes Conditions 3.0 France. Pour voir une copie de cette licence, visitez http://creativecommons.org/licenses/by-nc-sa/3.0/fr/ ou écrivez à : Creative Commons, 444 Castro Street, Suite 900, Mountain View, California, 94041, USA. Vous êtes libre de :  partager — reproduire, distribuer et communiquer cette œuvre  remixer — adapter l’œuvre Selon les conditions suivantes :  Attribution — Vous devez clairement indiquer que ce document, ou tout document dérivé de celui, est (issu de) l’œuvre originale de Noël Macé (noelmace.com) (sans suggérer qu'il vous approuve, vous ou votre utilisation de l’œuvre, à moins d'en demander expressément la permission).  Pas d’Utilisation Commerciale — Vous n’avez pas le droit d’utiliser cette œuvre à des fins commerciales (ie. l'intention première ou l'objectif d'obtenir un avantage commercial ou une compensation financière privée). Pour obtenir ce droit, une autorisation explicite de l'auteur est requise.  Partage dans les Mêmes Conditions — Si vous modifiez, transformez ou adaptez cette œuvre, vous n’avez le droit de distribuer votre création que sous une licence identique ou similaire à celle-ci. Pour toute demande de collaboration, d'utilisation commerciale ou de publication de ce support ou d'un dérivé de celui-ci sous une licence incompatible, contacter l'auteur via les contacts indiqués sur le site http://www.noelmace.com. Vous êtes par ailleurs vivement encouragé (sans obligation légale) à communiquer avec celui-ci si vous réalisez une œuvre dérivée ou toute amélioration de ce support. Linux LPIC1 – Comptia Linux+ noelmace.com