SÉCURISER UN SYSTÈME LINUX/UNIX

Transcription

1 Réseaux et Sécurité SÉCURISER UN SYSTÈME LINUX/UNIX Réf: SRX Durée : 3 jours (7 heures) OBJECTIFS DE LA FORMATION Ce stage très pratique et technique vous montrera comment sécuriser des serveurs Linux, au moyen d'outils et logiciels libres, ces outils sont nombreux, mûrs et adoptés par les principaux acteurs du marché. À l'issue de cette formation, les participants sauront définir une stratégie de sécurité, sécuriser des serveurs Linux/Unix et maintenir un niveau de sécurité constant dans le temps. Le cours prévoit entre autres les thèmes suivants: sécurisation du système «isolé», sécurisation du réseau dans l'entreprise, mener à bien un audit de sécurité. - Introduction - La sécurité et l'open source - L'installation trop complète : l'exemple de Linux - La sécurité locale du système - La sécurité au niveau réseau - Les utilitaires d'audit de sécurité PROGRAMME DE FORMATION Introduction - Pourquoi sécuriser un système : de quoi doit-on se protéger, de qui, pourquoi peut-on être attaqué? Les utilisateurs, l'authentification - Dès le départ, définir une stratégie d'authentification sécurisée - Gestion des mots de passe, «éducation» des utilisateurs - Qui doit avoir un shell? - Qui doit pouvoir se connecter? - La notion de pseudo user Le cryptage des mots de passe - Les différents algorithmes de chiffrement Stockage d'un mot de passe Chiffrement d'un mot de passe (openssl, crypt/md5) Vérification d'un mot de passe Quelques algorithmes de chiffrement sur Unix et en réseau - Stockage des mots de passe cryptés et protections - Le durcissement des mots de passe utilisateurs - Exemples d'attaques par dictionnaire La sécurité et l'open source Les implications de l'open source

2 - Les corrections sont rapides, les bugs sont rendus publics Problèmes liés au code (bugs connus) et donc exploités par les hackers - La technique d'approche d'un hacker : connaître les failles = savoir attaquer - Exemple d'«exploit» d'une vulnérabilité et solution de sécurisation - Quelle solution : mise à jour des logiciels, changement de logiciel? L'installation trop complète : l'exemple de Linux Choisir une distribution dite «sécurisée» - Debian, RedHat et les autres distributions Installation d'un système à partir d'une distribution classique - Eviter le piège de l'installation facile - Le maître mot : n'installer que le minimum requis - Méthodes d'ajout ou de suppression de composants logiciels Le noyau - Allégement du noyau (utiliser le minimum pour vos besoins) - Drivers de périphériques, fonctionnalités, etc - Quelle version choisir, comment se renseigner, où trouver l'information, les patches - Les modules Simplicité d'administration, mais risque éventuel! La sécurité locale du système La gestion des droits - Exemples de malveillance et d'inadvertance - Faible permissivité par défaut, ouvrir les droits sans en accorder trop - Vérification des droits des fichiers, scripts et commandes efficaces pour diagnostiquer - L'importance des droits sur les répertoires - Vérification automatisée : un changement de droit est il légitime? - Les droits des fichiers exécutables (identité d'un processus, setuid/setgid bit) - Gestion des processus identité réelle, identité effective Les systèmes de fichiers - Avantages du montage de quelques d'un FS en lecture seule

3 - Les attributs des fichiers, disponibilité et intérêt, gestion de l'effacement physique - Récupérer un fichier effacé? - Les outils comme Tripwire ou Aide, les scripts d'audit du changement La gestion des fichiers de log - Conservation des logs, combien de temps, pour quoi faire? - Problème d'espace disque induit par les logs d'un service - L'outil d'analyse des logs : logwatch - Réagir en temps réel : exemple de script PAM - Paramétrage de PAM dans les différents contextes - Renforcer les règles PAM concernant l'authentification des comptes - Intérêt de restreindre les ressources du système au niveau PAM Environnement sécurisé par SELinux - Confinement de l'exécution des processus - Terminologie DAC, MAC, RBAC, contexte, modèle, - Définition de la politique de sécurité - Outils d'administration La sécurité au niveau réseau La gestion des services : deux précautions valent mieux qu'une - Utiliser un firewall? Utiliser les wrappers? - Mettre en place des filtres d'accès aux services - Configurer un firewall de manière sécurisée, la bonne démarche de sécurisation au niveau réseau Quels outils pour vérifier l'accessibilité d'un service - Les techniques et outils de test d'accès aux services - Les commandes de diagnostic Le filtrage du trafic au niveau IP - Mise en place d'un firewall NetFilter sous Linux - Philosophie et syntaxe de iptables La gestion des services

4 - De quoi ai-je besoin? - Qu'est-ce que ce service qui écoute sur ce port? - Le super serveur xinetd, flexibilité, fiabilité, filtrage, lutte anti-attaque DOS - Les restrictions d'accès par le wrapper, les fichiers de trace - Réaliser un audit des services actifs Les attaques DOS - Technique d'approche et but cherché - Comment y remédier, ou plutôt y résister, les outils et leur paramétrage Le problème de l'écoute du trafic réseau - Paramétrage de ssh (clés, fichiers, commandes, stratégie, ) - "tunnels ssh" pour les applications de l'informatique existante Les utilitaires d'audit de sécurité Les principaux logiciels de crackage - Des produits propriétaires et les alternatives libres - Crack, John the Ripper, Qcrack Des produits OpenSource liés à la sécurité - Panorama des systèmes de détection d'intrusion HIDS et NIDS - TRIPWIRE / AIDE - SNORT - Tester la vulnérabilité avec NESSUS (richesse des rapports) Méthodologie et webographie - Démarche de mise en oeuvre d'un outil de sécurité - Les sites liés à la sécurité, la check-list sécurité PROFIL STAGIAIRES & PRÉ-REQUIS Ce cours s'adresse aux administrateurs de serveurs et de réseaux ayant le souci de mettre en oeuvre des serveurs sécurisés. Bonnes connaissances en administration des systèmes et réseaux. PRIX Paris : HT TTC

5 Powered by TCPDF ( Province : HT TTC DATES DE FORMATIONS Paris,Lyon,Aix,Nantes,Rennes,Toulouse,Bordeaux,Bruxelles,Strasbourg,Lille,Geneve,Sophia-antipolis,Luxembourg : Nous consulter.