Le logiciel libre en sécurité. L'intérêt du logiciel libre en sécurité

Save this PDF as:
 WORD  PNG  TXT  JPG

Dimension: px
Commencer à balayer dès la page:

Download "Le logiciel libre en sécurité. L'intérêt du logiciel libre en sécurité"

Transcription

1 [Accueil] [Plan] [Besoins] [Libre] [Proprio] [LibreSecu] [SecuLibre] [Exemples] [Conclusion] [Ressources] Le logiciel libre en sécurité L'intérêt du logiciel libre en sécurité Linux-Expo Paris 1 Février 2002 Hervé Schauer Hervé Schauer Consultants Reproduction strictement interdite Hervé Schauer Consultants bis, rue de la Gare - F Levallois-Perret - France Téléphone : Télécopie : Courriel : - Page 1 -

2 [Accueil] [Plan] [Besoins] [Libre] [Proprio] [LibreSecu] [SecuLibre] [Exemples] [Conclusion] [Ressources] Le logiciel libre en sécurité Plan de la présentation Hervé Schauer Consultants Besoins des utilisateurs Le logiciel libre Le logiciel propriétaire en sécurité Le logiciel libre et la sécurité La sécurité grâce au logiciel libre Exemples de logiciels libres pour la sécurité Conclusion Références & Ressources Hervé Schauer Consultants bis, rue de la Gare - F Levallois-Perret - France Téléphone : Télécopie : Courriel : - Page 2 -

3 [Accueil] [Plan] [Besoins] [Libre] [Proprio] [LibreSecu] [SecuLibre] [Exemples] [Conclusion] [Ressources] Hervé Schauer Consultants Cabinet de consultants en sécurité Unix, WNT, TCP/IP et Internet depuis consultants Expérience de la sécurité Unix depuis 1987 Expérience de la sécurité Internet depuis 1991 Expérience de la sécurité WNT depuis 1997 Conception et architecture sécurité Internet/Intranet détection d'intrusion commerce électronique Mise en place de systèmes de sécurité Audits Tests d'intrusion Veille technologique en vulnérabilités Formations Plus de 30 produits de sécurité maitrisés 200 références dans tous les secteurs d'activités et sur tous les continents Hervé Schauer Consultants bis, rue de la Gare - F Levallois-Perret - France Téléphone : Télécopie : Courriel : - Page 3 -

4 [Accueil] [Plan] [Besoins] [Libre] [Proprio] [LibreSecu] [SecuLibre] [Exemples] [Conclusion] [Ressources] HSC et le logiciel libre Contribution à Sendmail (01/1992) Rediffusion de la conférence des BBS LINUX.FR en newsgroup resif.info.linux (01/1993) Création de la hiérarchie de news fr. et de fr.comp.os.linux (04/1993) Dossier Unix sur PC de Tribunix (07/1993) Installation en clientèle du premier 386BSD (1994) Installation en clientèle du premier Linux (01/1995) Présentations et formations en français Formation Sendmail (1992) Formation Bind (1992) Présentations de PGP (1994), ssh, SSL, Apache avec certificats Sensibilisation à l'intérêt du logiciel libre en sécurité ( ) Tutoriel sécurité Linux dans le cadre de Linux-Expo (1999) Formation Postfix (1999), (support de cours en ligne) Formation Sécurité Linux (1999), (support de cours en ligne) Publication de logiciels libres : Babelweb, Filterrules, Nstreams, XML-logs, etc Hervé Schauer Consultants bis, rue de la Gare - F Levallois-Perret - France Téléphone : Télécopie : Courriel : - Page 4 -

5 [Accueil] [Plan] [Besoins] [Libre] [Proprio] [LibreSecu] [SecuLibre] [Exemples] [Conclusion] [Ressources] Besoins des utilisateurs Solution qui répond à ses besoins de sécurité Solution qui répond à ses besoins de services Solution qui répond aux moyens : humains et d'exploitation financiers Etape Etape répondre : Définissez vos besoins et vos moyens : Choisissez les architectures et les outils pour y Hervé Schauer Consultants bis, rue de la Gare - F Levallois-Perret - France Téléphone : Télécopie : Courriel : - Page 5 -

6 [Accueil] [Plan] [Besoins] [Libre] [Proprio] [LibreSecu] [SecuLibre] [Exemples] [Conclusion] [Ressources] Le logiciel libre Logiciel libre de droit protégé par le droit d'auteur l'auteur autorise la copie Logiciel dont le code source est accessible Logiciel dont le code source est modifiable GNU (Richard Stallman, 1984) Open-source (Eric Raymond, 1998) Linux est un logiciel libre Hervé Schauer Consultants bis, rue de la Gare - F Levallois-Perret - France Téléphone : Télécopie : Courriel : - Page 6 -

7 [Accueil] [Plan] [Besoins] [Libre] [Proprio] [LibreSecu] [SecuLibre] [Exemples] [Conclusion] [Ressources] Le logiciel propriétaire en sécurité Impossibilité d'obtenir une adaptation à un contexte spécifique Impossibilité d'obtenir une explication sur le fonctionnement du produit Réponse habituelle : "secret industriel" Exemple de question qui n'a jamais reçu de réelle réponse chez un fournisseur : "que vérifie votre filtrage de session (= inspection avec état)?" Grosses surprises lorsque l'on fait l'effort de faire de l'ingéniérie inverse et des tests intensifs Et les doutes subsistent : Difficulté d'obtention d'un support à la hauteur de l'importance du sujet Mauvais respect des standards Exemple : piles IPsec Hervé Schauer Consultants bis, rue de la Gare - F Levallois-Perret - France Téléphone : Télécopie : Courriel : - Page 7 -

8 [Accueil] [Plan] [Besoins] [Libre] [Proprio] [LibreSecu] [SecuLibre] [Exemples] [Conclusion] [Ressources] Le logiciel libre et la sécurité Les caractéristiques du logiciel libre sont un atout en sécurité Code source supérieur au logiciel propriétaire taille du code modularité du code lisibilité du code qualité du code Logiciel moins complexe que le logiciel propriétaire Logiciel souvents supérieur et plus industriel Logiciel toujours documenté Logiciel réalisé sans pression pas de contrainte de temps pas de contraintes financières Bon respect des standards La norme constitue le cahier des charges Hervé Schauer Consultants bis, rue de la Gare - F Levallois-Perret - France Téléphone : Télécopie : Courriel : - Page 8 -

9 [Accueil] [Plan] [Besoins] [Libre] [Proprio] [LibreSecu] [SecuLibre] [Exemples] [Conclusion] [Ressources] Le logiciel libre et la sécurité Les logiciels libres peuvent être utilisés en toute confiance Mêmes précautions que pour un logiciel propriétaire Il faut : Valider la méthode d'obtention du logiciel Télécharger depuis le site de l'auteur ou un miroir officiel Vérifier que l'on télécharge bien la version pour son système Lire les documentations Tester et valider le fonctionnement en production du logiciel Noter où obtenir mise à jour et support Hervé Schauer Consultants bis, rue de la Gare - F Levallois-Perret - France Téléphone : Télécopie : Courriel : - Page 9 -

10 [Accueil] [Plan] [Besoins] [Libre] [Proprio] [LibreSecu] [SecuLibre] [Exemples] [Conclusion] [Ressources] La sécurité grâce au logiciel libre Le logiciel libre permet notamment : L'analyse du code source La correction des failles L'indépendance du support Hervé Schauer Consultants bis, rue de la Gare - F Levallois-Perret - France Téléphone : Télécopie : Courriel : - Page 10 -

11 [Accueil] [Plan] [Besoins] [Libre] [Proprio] [LibreSecu] [SecuLibre] [Exemples] [Conclusion] [Ressources] La sécurité grâce au logiciel libre L'analyse du code source Sécurité curiosité regarder comment c'est conçu regarder comment c'est programmé, comprendre pourquoi et donner son avis détecter les failles éventuelles de sécurité là où un logiciel non accessible en source ne le permet pas Sources relues par de nombreuses personnes motivées et diversifiées (peer review) éditeurs propriétaires ne peuvent atteindre ce niveau de relecture attention : ce n'est pas une garantie Exemples : cheval de troie dans tcp_wrapper, faille dans ssh v1 Hervé Schauer Consultants bis, rue de la Gare - F Levallois-Perret - France Téléphone : Télécopie : Courriel : - Page 11 -

12 [Accueil] [Plan] [Besoins] [Libre] [Proprio] [LibreSecu] [SecuLibre] [Exemples] [Conclusion] [Ressources] La sécurité grâce au logiciel libre La correction des failles Possibilité d'agir soi-même autonomie Possibilité de faire agir un tiers immédiatement disponible indépendant des auteurs compétent permet de faire une correction rapidement en se reposant sur soi sans être dépendant d'un extérieur mal maîtrisé Existence d'une large communauté capable d'agir dans le code corrections dès la découverte du problème validation importante en peu de temps Exemple erreur pile IP Linux Hervé Schauer Consultants bis, rue de la Gare - F Levallois-Perret - France Téléphone : Télécopie : Courriel : - Page 12 -

13 [Accueil] [Plan] [Besoins] [Libre] [Proprio] [LibreSecu] [SecuLibre] [Exemples] [Conclusion] [Ressources] La sécurité grâce au logiciel libre L'indépendance du support L'indépendance du support et de l'assistance garanti la perennité du support garanti le niveau d'expertise Logiciel propriétaire support fournisseur, arrêt du logiciel (rachat, changement stratégique, etc) arrêt du support utilisation du logiciel dans un contexte spécifique sécurité : incompétence réactivité inadaptée pour le prix Logiciel libre appel à un support qualifié en sécurité Hervé Schauer Consultants bis, rue de la Gare - F Levallois-Perret - France Téléphone : Télécopie : Courriel : - Page 13 -

14 [Accueil] [Plan] [Besoins] [Libre] [Proprio] [LibreSecu] [SecuLibre] [Exemples] [Conclusion] [Ressources] Exemples de logiciels libres pour la sécurité (1/4) Filtrage IP NetFilter (Linux 2.4), Packet Filter (OpenBSD), IP-Filter (FreeBSD, NetBSD, Solaris, HP-UX, IRIX), IP-Chains (Linux 2.2), IP-Firewall (FreeBSD, Linux 2.0) Configuration du filtrage IP Firewall Builder, SmoothWall, PHP Firewall Generator, GFCC, Easy Firewall, Mason Network streams, Filterrules Filtrage IP en entrée sur un serveur tcp_wrapper, xinetd Relayage applicatif Squid, Solsoft NSM, Delegate, FWTK Hervé Schauer Consultants bis, rue de la Gare - F Levallois-Perret - France Téléphone : Télécopie : Courriel : - Page 14 -

15 [Accueil] [Plan] [Besoins] [Libre] [Proprio] [LibreSecu] [SecuLibre] [Exemples] [Conclusion] [Ressources] Exemples de logiciels libres pour la sécurité (2/4) Relayage applicatif en entrée Apache, Subweb Tests de vulnérabilités Nessus, Nmap, Hping, Whisker Détection d'intrusions Snort, Prelude, Ntop, Shadow, Bro (téléchargement) Chiffrement au niveau réseau : Implémentations libres d'ipsec KAME, Linux FreeS/Wan, OpenBSD, Pipsecd Chiffrement au niveau applicatif PGP, Gnu Privacy Guard, SSH (FAQ), OpenSSH, LSH, SSF Hervé Schauer Consultants bis, rue de la Gare - F Levallois-Perret - France Téléphone : Télécopie : Courriel : - Page 15 -

16 [Accueil] [Plan] [Besoins] [Libre] [Proprio] [LibreSecu] [SecuLibre] [Exemples] [Conclusion] [Ressources] Exemples de logiciels libres pour la sécurité (3/4) Authentification Opie (téléchargement), S/Key, Radius (RFC) (téléchargement), Tacacs (téléchargement), OpenLdap Serveurs WWW sécurisables et chiffrement SSL/TLS Apache, Apache-SSL, mod_ssl basé sur OpenSSL Infratructures de gestion de clés IDX-PKI, EU-PKI Hervé Schauer Consultants bis, rue de la Gare - F Levallois-Perret - France Téléphone : Télécopie : Courriel : - Page 16 -

17 [Accueil] [Plan] [Besoins] [Libre] [Proprio] [LibreSecu] [SecuLibre] [Exemples] [Conclusion] [Ressources] Contrôle d'intégrité AIDE, Tripwire, SamHain, Lastwall, etc Journalisation Swatch, Logsurfer, XML-logs, New Syslog, Modular Syslog, Syslog-NG Serveurs de nom, Serveurs de messagerie Bind, Postfix, Sendmail Serveurs de fichiers Samba Systèmes d'exploitation pour serveurs, fiables et à hautedisponibilité Linux, Linux HA, FreeBSD, OpenBSD, etc etc. Exemples de logiciels libres pour la sécurité (4/4) Hervé Schauer Consultants bis, rue de la Gare - F Levallois-Perret - France Téléphone : Télécopie : Courriel : - Page 17 -

18 [Accueil] [Plan] [Besoins] [Libre] [Proprio] [LibreSecu] [SecuLibre] [Exemples] [Conclusion] [Ressources] Conclusion En sécurité, il faut conseiller le logiciel libre comprendre ce qui se passe gagner son autonomie répondre aux besoins spécifiques obtenir la transparence Les logiciels libres apportent de la sécurité Le logiciel libre est crucial pour la sécurité Hervé Schauer Consultants bis, rue de la Gare - F Levallois-Perret - France Téléphone : Télécopie : Courriel : - Page 18 -

19 [Accueil] [Plan] [Besoins] [Libre] [Proprio] [LibreSecu] [SecuLibre] [Exemples] [Conclusion] [Ressources] Ressources Associations AFUL : Association Française des utilisateurs de Linux et des Logiciels Libres OSSIR : Observatoire de la Sécurité des Systèmes d'information et des Réseaux Papiers, débats et conférences The Cathedral and the Bazaar AFUL : Qu'est-ce que le logiciel libre? Autrans 98 : Table ronde sur les logiciels libres ENST-Bretagne : Un avenir pour le logiciel libre Autrans 99 : Logiciels libres et logiciels propriétaires Autrans 99 : Les logiciels libres et la sécurité Les documents Halloween : Jusqu'où Micro$oft vous emmènera-t-il? Définition de l'open Source SANS Bastillle-Linux project, Securing Linux workshop What's Wrong With Content Protection, de John Gilmore de l'eff Support du cours HSC Sécurité Linux : Hervé Schauer Consultants bis, rue de la Gare - F Levallois-Perret - France Téléphone : Télécopie : Courriel : - Page 19 -

20 Apache, Linux et la sécurité des serveurs web Linux Expo 1 Février 2002 Frédéric Lavécot Hervé Schauer Consultants < Copyright Hervé Schauer Consultants Reproduction Interdite Plan Apache Sécurité d un serveur web Installation d apache Mécanismes de sécurité Copyright Hervé Schauer Consultants Reproduction Interdite

21 Apache < Quelques chiffres (source Netcraft) : Apache : 56.50% IIS : I-Planet : 3.59% Zeus : 2.18% Copyright Hervé Schauer Consultants Reproduction Interdite Apache - Aujourd hui Apache octobre version stable Maturité exceptionnelle, le logiciel libre le plus utilisé sur Internet Tous les hébergeurs, les fournisseurs d accès, les consommateurs intensifs de ressources web, utilisent Apache Apache novembre version de développement $ telnet httpd.apache.org 80 Trying Connected to httpd.apache.org. Escape character is ^]. HEAD / HTTP/1.0 HTTP/ Found Server: Apache/ (Unix) Location: Copyright Hervé Schauer Consultants Reproduction Interdite

22 Apache - Forces Simplicité de configuration par défaut fonctionnelle et sûre 1 fichier : httpd.conf syntaxe claire et stable documentation extrêmement poussée Modularité Développement dynamique 40 développeurs dans le "core team", très stricts quant-à la tournure du développement Projets variés Tomcat : implémentation de référence des technologies Java-Server Coccon : environnement de publication en ligne de documents XML Copyright Hervé Schauer Consultants Reproduction Interdite La sécurisation est un processus Elle commence au moment de définir l architecture Bien débuter : installation minimale du serveur Ne pas oublier : se prolonge jusqu à ce que le serveur soit déconnecté de tout réseau Privilégier une approche pratique aux guides d assurances (orange book, common criteria,...) qui n ont pas la même vocation : Conçus pour l armée en dehors des contraintes des entreprises Copyright Hervé Schauer Consultants Reproduction Interdite

23 Mises à jour de sécurité La sécurité se dégrade rapidement si les programmes ne sont pas maintenus à jour, notamment pour : les services réseau les programmes SUID et/ou SGID Il est souvent nécessaire de mettre à jour une machine qui vient d être install ée Copyright Hervé Schauer Consultants Reproduction Interdite Se tenir au courant RedHat : mailing liste : avec le mot "subscribe" dans le sujet lire les avis de sécurité (RSA : RedHat Security Advisories) Debian : envoyer un mail à l adresse avec le mot "subscribe" dans le sujet Copyright Hervé Schauer Consultants Reproduction Interdite

24 Informations de sécurité généralistes Bugtraq : envoyer un message à avec dans le corps du message : SUBSCRIBE BUGTRAQ Nom, Prénom Securiteam : envoyer un mail avec un sujet vide à Les messages contienent un tag spécial dans le sujet : [NEWS] - General security news. [NT] -Windows specific issues. [UNIX] -UNIX specific issues. [EXPL] - Advisories that contain exploit code. [TOOL] - Free tool reviews. [REVS] - Commercial product reviews. Veilles commerciales Copyright Hervé Schauer Consultants Reproduction Interdite Installation d Apache Installation minimale : désactivation des modules non nécessaires Choix entre fonctionnement statique (toutes les fonctions compilées dans l exécutable) ou modulaire Exemple de configuration modulaire (DSO) :./configure --enable-module=most --enable-shared=max [...] Exemple de configuration statique :./configure --enable-module=rewrite --enable-module=proxy [...] Ne jamais configurer en./configure --enable-module=most [...] sans préciser le mode DSO. Toutes les fonctions seraient compilées en un unique exécutable. Ré percussion sur la configuration Directive LoadModule à utiliser pour sélectionner les modules à charger au démarrage, si et seulement si ils sont vraiment nécessaires. Copyright Hervé Schauer Consultants Reproduction Interdite

25 Installation d Apache Identité du serveur web Nécessité ABSOLUE d utiliser un utilisateur et un groupe dédiés pour faire fonctionner le serveur web Par défaut, il s agit de nobody:nogroup, pas assez restrictif. Le serveur est lancé avec l UID 0 (root), afin de s attacher au port privilégi é 80. Les processus suivants (issus de fork) prennent l identité de l utilisateur dédié pour répondre aux requêtes HTTP et exécuter les scripts CGI le cas échéant Cet utilisateur et ce groupe ne doivent disposer que d un nombre réduit de permissions : écriture des journaux, lecture des pages web, exécution d éventuels scripts de CGI, compte verrouillé Dans la configuration d Apache, on utilise les directives User et Group Apache Copyright Hervé Schauer Consultants Reproduction Interdite Restrictions d accès Directives <Directory>, <Files>, <DirectoryMatch>, <FileMatch> ScriptAlias <Limit>, <LimitExcept> pour limiter les méthodes HTTP.htaccess Gestion des liens symboliques Virtual Host Copyright Hervé Schauer Consultants Reproduction Interdite

26 Démonstrations authentification Basic authentification Basic + LDAP Mod_auth_ldap + OpenLDAP Modssl Copyright Hervé Schauer Consultants Reproduction Interdite Le protocole HTTPS Encapsulation du protocole HTTP dans SSL/TPS HTTP dans un tunnel chiffré, authentifié, avec contrôle d intégrité sur les données Copyright Hervé Schauer Consultants Reproduction Interdite

27 HTTPS n est pas une sécurité contre : Les applications/scripts mal écrits les failles du serveur web Contrairement à ce que certains voudraient faire croire : From Thu Jan 17 19:45: Subject: Choisissez la confiance et la sécurité avec Certplus Votre site Internet est-il suffisamment sécurisé pour la vente en ligne? Pour offrir à vos clients 100% de sécurité et de confiance, découvrez dès maintenant le Certificat Serveur. Ce véritable passeport électronique, émis au sein du VeriSign Trust Network, vous permettra : - De crypter vos transactions commerciales en ligne et de garantir la confidentialité à vos clients - De sécurisez vos Intranets et d échanger vos informations sensibles en toute confiance [...] Copyright Hervé Schauer Consultants Reproduction Interdite Exemple d attaques sur HTTPS 1/2 Avec openssl < : $ openssl s_client -connect :443 CONNECTED( ) depth=0 /C=FR/ST=Paris/L=Paris/O=XXXXXX XXXXXXXXXX/OU=DSIN/DU04/OU=Terms of use at (c) 01/OU=Authenticated by Certplus SA/OU=Member, Veri [...] GET /COM_DIS_Main/1,1500,blah_0_0_hsc,01.html HTTP/1.0 Host: secure.xxxxxx.xxxxxxxxxx.xxx [...] proc ::Projet::Qols::Sql::PCT_QOLS_SEL_SGE { {codeerr ""} } { eval "SEARCH PROCEDURE PKG_QOLS.PCT_QOLS_SEL_SGE INTO result PARAMETERS { codeerr } VALUES { {codeerr} }" return $result } [...] Copyright Hervé Schauer Consultants Reproduction Interdite

28 Exemple d attaques sur HTTPS 2/2 Avec stunnel < : $ stunnel -c -d 80 -r :443 $ perl -e print "A"x5000," / HTTP/1.0\r\n" nc localhost 80 HTTP/ Request-URI Too Large Date: Mon, 21 Jan :26:52 GMT Server: Apache/ Connection: close Content-Type: text/html; charset=iso Copyright Hervé Schauer Consultants Reproduction Interdite Reverse proxy Un relais inverse n est utile que s il apporte : des fonctionnalités (authentification par mots de passe ou forte par certificats, chiffrement, filtrage applicatif). du filtrage pour protéger les cgi : filtrage d URL (chemin, fichier, extension, type de paramètres,...) filtrage des cookies... Copyright Hervé Schauer Consultants Reproduction Interdite

29 Filtrage d URL et de contenu Modules apaches mod_rewrite : ré-écriture d URL Principe d un cgi-wrapper Ne jamais faire confiance aux données qui viennent d Internet Vérifier toutes les données utilisateurs Copyright Hervé Schauer Consultants Reproduction Interdite mod_rewrite < < --enable-module-rewrite Ré-écriture d URL Très puissant mais peut s avérer complexe à mettre en oeuvre désactiver ProxyPass et ProxyPassReverse (sinon s exécutent avant Rewrite Rules) basé sur des expressions régulières 1 pour la correspondance 1 pour la réécriture puis prise de décision : P (proxy), F (forbidden),... Comme le filtrage IP : autoriser de qui est connu et par défaut interdire tout RewriteRule.* / [F] Copyright Hervé Schauer Consultants Reproduction Interdite

30 mod_rewrite : Exemples RewriteEngine On RewriteLog logs/rewrite.log RewriteLogLevel 9 RewriteRule \.htr($.*) / [F] dans logs/rewrite/log [23/Jan/2002:09:43: ] [avalon.hsc.fr/sid#80d3034][rid#8102c 3c/initial/redir#1] (2) init rewrite engine with requested uri /index.html.en [23/Jan/2002:09:43: ] [avalon.hsc.fr/sid#80d3034][rid#8102c 3c/initial/redir#1] (3) applying pattern \.htr($.*) to uri /index.html.en [23/Jan/2002:09:43: ] [avalon.hsc.fr/sid#80d3034][rid#8102c 3c/initial/redir#1] (1) pass through /index.html.en [23/Jan/2002:09:44: ] [avalon.hsc.fr/sid#80d3034][rid# /initial] (3) applying pattern \.htr($.*) to uri /blah.htr [23/Jan/2002:09:44: ] [avalon.hsc.fr/sid#80d3034][rid# /initial] (2) rewrite /blah.htr -> / [23/Jan/2002:09:44: ] [avalon.hsc.fr/sid#80d3034][rid# /initial] (2) forcing / to be forbidden Copyright Hervé Schauer Consultants Reproduction Interdite mod_rewrite : Exemples RewriteRule index\.html($.*) index\.html2 [L] [23/Jan/2002:11:41: ] [avalon.hsc.fr/sid#80d3034][rid#8105c94/initial/redir#1] (2) rewrite /index.html -> /index2.html [23/Jan/2002:11:41: ] [avalon.hsc.fr/sid#80d3034][rid#8105c94/initial/redir#1] (2) local path result: /index2.html [23/Jan/2002:11:41: ] [avalon.hsc.fr/sid#80d3034][rid#8105c94/initial/redir#1] (2) prefixed with document_root to /usr/local/apache/htdocs/index2.html [23/Jan/2002:11:41: ] [avalon.hsc.fr/sid#80d3034][rid#8105c94/initial/redir#1] (1) go-ahead with /usr/local/apache/htdocs/index2.html [OK] Copyright Hervé Schauer Consultants Reproduction Interdite

31 CGI wrapper < Protéger des cgi dont on a pas forcément les sources Filtrer les paramètres d un cgi appelé à la place du cgi original et vérifie la taille minimum d un paramètre la taille maximum d un paramètre le type de données grâce à une expression régulière Copyright Hervé Schauer Consultants Reproduction Interdite Les autres possibilités Filtrer la conformité d un cookie / du sessionid avec le mécanisme de génération scellement des champs hidden (expérimental dans subweb) Chiffrer la valeur des champs hidden pour qu ils ne soient pas modifiés chiffrement des URL jeton pour passer d un script à un autre Eviter de deviner les URLs par force-brute Copyright Hervé Schauer Consultants Reproduction Interdite

32 Sécurité des applications Un cgi n est sur que si le code source a été audité. Bon réflexe de tester vous mêmes vos propres cgi. De même que l on fait tourner nmap sur un serveur pour tester le filtrage il existe des outils pour vous aider à tester vos applications. subweb : < babelweb : < nikto, rfproxy, cgi-scan,... Copyright Hervé Schauer Consultants Reproduction Interdite Gestion des sessions RFC 2109: HTTP State Management Mechanism Doos and don ts of client authentication on the web Copyright Hervé Schauer Consultants Reproduction Interdite

33 Rappel Apache Installation d apache restrictions d accès Authentification et modules d authentification HTTPS le protocole attaques sur https Filtrage d URL et de contenu mod_rewrite cgi-wrapper Sécurité des applications Gestion des sessions Copyright Hervé Schauer Consultants Reproduction Interdite

34 Les caractéristiques de Linux en sécurité Denis Ducamp / Hervé Schauer Consultants Février 2002 Reproduction strictement interdite 1. Introduction Cette présentation va aborder deux aspects distincts : les principales fonctions de sécurité du noyau Linux 2.2 l'authentification avec PAM (Pluggable Authentication Modules) 1.1 Qu'est ce qu'un noyau? Le noyau est le coeur du système. Il peut être comparé à un "gros programme" qui serait chargé en mémoire à l'initialisation de la machine. Ses principales tâches sont de : gérer les systèmes d'entrées / sorties et les processus. distribuer aux processus les ressources en temps processeur et en mémoire. Les programmes accèdent aux fonctionnalités du noyau via les appels systèmes. 1.2 Les principales fonctions de sécurité de Linux 2.2 Les privilèges (capabilities) Les risques des modules La comptabilité Le chiffrement de systèmes de fichiers Divers : les patchs de sécurité, les distributions sécurisées et subterfugue. 2. Privilèges (capabilities) Qu'est ce qu'un privilège? Les privilèges linux Les privilèges des processus - Page 1 -

35 Gestion des processus Exemples de processus Les privilèges des fichiers exécutables Exemples de fichiers exécutables Références 2.1 Qu'est ce qu'un privilège? Sur un système Unix classique, le compte root (UID égal à 0) possède tous les droits. Il peut ainsi lire tous les fichiers et tuer tous les processus. Si un programme a besoin d'un privilège alors le processus devra avoir l'identité de root. Par exemple un programme de sauvegarde n'a besoin que de pouvoir lire tous les fichiers. En s'exécutant en tant que root, il obtient le contrôle total du système et peut donc tuer tous les processus. Les privilèges (capabilities) sont le partitionnement des privilèges du compte root (UID = 0) en droits unitaires. Il est ainsi possible d'allouer à des processus les seuls droits dont ils ont besoin. 2.2 Les privilèges linux Le système de privilèges utilisé est celui défini par le draft POSIX e "POSIX capabilities" qui est maintenant abandonné. Actuellement seuls les processus sont associés aux privilèges. Deux implémentations sont en cours de réalisation pour gérer les privilèges au niveau des fichiers exécutables. Chaque processus possède trois ensembles de privilèges : permitted(p) : les privilèges que le processus courant possède effective(e) : les privilèges que le processus courant peut exécuter inheritable(i) : les privilèges qui seront hérités par un processus fils 2.3 Les privilèges des processus L'implémentation du noyau 2.2 ne fait aucune référence à l'uid d'un processus pour savoir quels sont ses droits, seul l'ensemble de ses privilèges effectifs (E) est consulté. Sur un système Unix classique les processus appartenant à root possèdent tous les privilèges, les autres processus n'en possèdent aucun. Le privilège CAP_SETPCAP permet de changer les privilèges d'autres processus. Cette fonctionnalité n'existant pas sur un système classique, ce privilège n'est donné - Page 2 -

36 à aucun processus sous Linux 2.2. L'ensemble des privilèges est défini dans le fichier /usr/src/linux/include/linux/capability.h Afin d'avoir un système fonctionnel à base de privilèges il est nécessaire de modifier deux lignes dans les sources du noyau pour que les processus appartenant à root acquièrent ce privilège (voir FAQ). Il est possible depuis la version d'utiliser le fichier /proc/sys/kernel/cap-bound pour consulter l'ensemble des privilèges du système. Il est possible de supprimer des privilèges du système qui n'ont pas ou plus de raison d'être : CAP_NET_ADMIN, CAP_NET_RAW, CAP_SYS_MODULE, CAP_SYS_CHROOT L'utilitaire lcap disponible sur le site < permet de supprimer aisément des privilèges du système. 2.4 Gestion des processus Les deux utilitaires à connaître sont : execcap <caps> <command-path> command-args... permet d'exécuter un programme avec des privilèges réduits sucap <user> <group> <caps> <command-path> command-args... permet d'exécuter un programme avec des privilèges réduits en spécifiant l'utilisateur et le groupe d'exécution. Note : utiliser les utilitaires fournis avec une version 1.10 ou plus récente de la bibliothèque libcap (voir Références) 2.5 Exemples de processus Dans les exemples ci-dessous, le programme lancé est un serveur de tamagoshi qui ouvrira une socket sur un port privilégié (999). execcap cap_net_bind_service=eip /usr/local/bin/tama 999 Le processus est exécuté en tant que root mais ne possède que le droit d'ouvrir des ports privilégiés. Si le programme possède une vulnérabilité, alors il ne pourra être utilisé que pour accéder à des fichiers appartenant à root. sucap tama tama cap_net_bind_service=eip /usr/local/bin/tama 999 Le processus est exécuté en tant que tama mais possède le privilège d'ouvrir des ports privilégiés. Si le programme possède une vulnérabilité, alors il ne pourra être utilisé que pour accéder à des fichiers appartenant à tama. Il existe des conditions dans lesquelles le programme aura commencé à être exécuté par le système alors que ses privilèges ne lui auront pas encore été accordés. - Page 3 -

37 Ce problème sera réglé lorsque les privilèges seront gérés au niveau des fichiers. 2.6 Les privilèges des fichiers exécutables Deux implémentations sont en cours de développement : fcaps : VFS layer patchs for capabilities Permet d'accorder à tout fichier exécutable des privilèges. L'ensemble de ces privilèges sont enregistrés au niveau du système de fichiers. elfcap : Elf capabilities hack Permet de retirer des privilèges à tout fichier exécutable au format elf. L'ensemble de ces privilèges sont enregistrés au niveau de l'en-tête elf. 2.7 Exemples de fichiers exécutables Les exemples ci-dessous comparent les deux solutions pour le programme ping qui nécessite le privilège CAP_NET_RAW pour ouvrir une socket en mode raw. fcaps : ping n'a pas besoin d'être SUID root Le processus a pour identité celle de l'utilisateur qui l'a lancé. Les utilitaires nécessaires sont ceux fournis avec la libcap Le patch fcaps n'est pas sufisamment avancé pour être utilisé sur des systèmes en production. elfcap ping doit être SUID root Si l'administrateur utilise l'option adéquate lors de la définition des privilèges accordés alors le processus peut avoir pour identité celle de l'utilisateur qui l'a lancé; sinon il sera root. Les utilitaires nécessaires doivent être récupérés avec le patch. Le patch elfcap est suffisament avancé pour être utilisé sur des systèmes en production. Ce système est actuellement limité aux fichiers au format elf. 2.8 Références Linux Capabilities FAQ 0.2 <ftp://ftp.kernel.org/pub/linux/libs/security/linux-privs/kernel-2.2/capfaq-0.2.txt> ou <ftp://ftp.guardian.no/pub/free/linux/capabilities/capfaq.txt> libcap <ftp://ftp.kernel.org/pub/linux/libs/security/linux-privs/kernel-2.2/> et fcaps (+extended attributes, voir < : <ftp://ftp.kernel.org/pub/linux/libs/security/linux-privs/kernel-2.2-fcap/> pour Linux 2.2 ou <ftp://ftp.kernel.org/pub/linux/libs/security/linux-privs/kernel-2.4-fcap/> pour Linux 2.4. par Andrew Morgan : - Page 4 -

38 bibliothèque (libcap), utilitaires et patchs noyaux. Elf capabilities hack < par Pavel Machek : utilitaires et patchs noyaux (2.2.x seulement). 3. Les risques des modules Définitions Les risques Avantages pour l'administrateur Avantages pour les pirates 3.1 Définitions Un module est un morceau de code permettant d'ajouter des fonctionnalités au noyau : pilotes de périphériques matériels, protocoles réseaux, etc. Il peut être chargé dynamiquement sans avoir besoin de recompiler le noyau ou de redémarrer le système. Les modules sont exécutés dans l'espace mémoire du noyau : ils possèdent le contrôle total de la machine ils peuvent détourner ou créer un appel système 3.2 Les risques Les modules ne rentrent pas en jeu dans la sécurité d'un système Les modules possèdent le contrôle total de la machine et peuvent : permettre aux administrateurs d'améliorer la sécurité du système permettre aux pirates d'affaiblir la sécurité du système. 3.3 Les avantages pour l'administrateur Mettre à jour un pilote sans recompiler le noyau ni redémarrer le système. Détourner certains appels systèmes pour surveiller l'activité du système : rediriger ou journaliser les accès à certains fichiers journaliser les ajouts et les suppressions de modules; fonctions pouvant être soumises à l'authentification préalable de l'utilisateur. - Page 5 -

39 Voir < qui montre comment les modules peuvent aider l'administrateur système à sécuriser sa station. 3.4 Les avantages pour les pirates Prendre le contrôle total de la machine en détournant des appels systèmes : modifier la configuration apparente de la machine : mode promiscuous cacher des fichiers : rendre invisible les fichiers commençant par un mot clé filtrer le contenu d'un fichier : ôter des journaux, les lignes contenant l'adresse IP du pirate détourner les demandes de changement d'identité : un compte utilisateur donné peut devenir administrateur sortir d'un environnement restreint (chroot) 3.5 Références cacher un processus : rendre invisibles les processus commençant par un mot clé rediriger l'exécution de programmes : installer des backdoor sans modifier les programmes originaux "(nearly) Complete Linux Loadable Kernel Modules" < par pragmatic / THC : descriptions de nombreuses utilisations des modules sous Linux avec les sources pour Linux 2.0.3x Le même document existe pour : FreeBSD < par pragmatic / THC Solaris < par plasmoid / THC "lcamtuf::pliki" < ou "lcamtuf::soft" < par Michal Zalewski / : de nombreux sources de modules ou de patchs noyaux pour Linux 2.0.3x ou 2.2.x - la majorité en polonais. Phrack Magazine < : "Weakening the Linux Kernel" (Issue 52 article 18) par plaguez : description et sources d'un cheval de Troie s'initialisant par un module. "btrom" (Issue 54 article 03) par riq : description et sources d'un programme de détection et de désactivation de chevaux de Troie fonctionnant sur le modèle précédent. adore et knark : 2 root-kits en modules - Page 6 -

40 Voir < et voir < pour un détecteur (par force brute). 4. La comptabilité Enregistrement automatique par le noyau des ressources utilisées par chaque processus lors de leurs terminaisons : date de création utilisateur propriétaire nom de la commande utilisation de la mémoire terminal contrôlé temps processeur utilisé nombre d'entrées/sorties réalisées 4.1 Les utilitaires Les utilitaires nécessaires à l'utilisation des données de comptabilités sont ceux édités par GNU < : acct tar.gz. Voir dans <ftp://ftp.gnu.org/gnu/acct/>. Cette archive renferme entre autres les utilitaires suivants : accton : active et désactive la comptabilité lastcomm : affiche des informations à propos des dernières commandes sa : résume les informations de comptabilité 4.2 Mise en route Pré-requis : le support noyau doit être activé. (sélectionner l'option "BSD Process Accounting" dans le menu "General setup") La comptabilité est activée par la commande accton /var/account/pacct Le journal doit exister avant l'appel à cette commande, il peut être préférable de restreindre les droits d'accès au journal. Le comportement de la comptabilité peut être modifié via l'entrée /proc/sys/kernel/acct qui contient 3 entrées : limite basse : espace libre nécessaire pour que la comptabilité reste active. limite haute : espace libre nécessaire pour que la comptabilité se réactive. - Page 7 -

41 fréquence : temps en secondes entre deux vérifications de l'espace libre. 4.3 Statistiques Les deux commandes suivantes permettent de synthétiser les données : sa : totalise pour chacune des commandes peut appliquer différents ordres de tris (entrées/sorties, temps processeurs et nombres d'appels). peut totaliser les temps processeurs pour chacun des utilisateurs. lastcomm : affiche les dernières commandes exécutées peut limiter l'affichage à un nom de commande, un nom d'utilisateur, un nom de terminal ou toute combinaison de plusieurs de ces trois précédents éléments. La commande dump-acct /var/account/pacct exporte au format texte le contenu du fichier de comptabilité. Il est ainsi possible de réaliser de façon simple ses propres statistiques avec des languages comme awk et perl. 5. Le chiffrement de systèmes de fichiers Fonctionnement Notes Algorithmes Exemple Références 5.1 Fonctionnement La commande losetup associe un loopback (périphérique virtuel) à une partition. Si un algorithme de chiffrement est sélectionné alors un mot de passe est demandé. L'opération de montage de la partition se fait en indiquant le loopback associé à la partition désirée. Toutes les données envoyées au loopback sont écrites chiffrées dans la partition. Lors d'une lecture dans le loopback, les données correspondantes sont lues dans la partition et déchiffrées en mémoire. 5.2 Notes à cause des lois sur l'exportation et l'utilisation de la cryptographie, les fonctionnalités de chiffrement de Linux ne peuvent être incluses dans la distribution standard. Des patchs officiels sont disponibles pour ajouter ces fonctions aux sources du - Page 8 -

42 noyau. Ces patchs sont disponibles sur le site < les commandes losetup, mount et umount doivent être patchées pour supporter ces fonctionnalités. Les patchs nécessaires sont fournis avec les patchs du noyau. un fichier peut être associé à un loopback. Cela permet : de créer de petites partitions chiffrées qui peuvent être montées seulement lorsqu'elles sont nécessaires. de sauvegarder de façon sécurisée une partition vers un fichier chiffré. 5.3 Algorithmes Deux algorithmes ont été implémentés pour chiffrer des partitions : CAST-128 défini dans le RFC 2144; voir < utilisé en mode ECB Twofish défini par Bruce Schneier, Doug Whiting, John Kelsey, Chris Hall et David Wagner; voir < utilisé en mode CBC Une option permet d'utiliser en mode CBC n'importe lequel des dix algorithmes présents dans la bibliothèque pour chiffrer une partition. AES, Blowfish, 3DES, DES, DFC, IDEA, MARS, RC5, RC6 et Serpent. Les algorithmes de hachage MD5 et SHA1 sont également disponibles. 5.4 Exemple Sauvegarde de fichiers dans un fichier chiffré : # dd if=/dev/urandom of=~/mon_fichier bs=1k count=100 # losetup -e twofish /dev/loop0 ~/mon_fichier Password: # mkfs -t ext2 /dev/loop0 # mount -t ext2 /dev/loop0 ~/mnt # cp -pr ~/prive ~/mnt # umount /dev/loop0 # losetup -d /dev/loop0 5.5 Références Les patchs officiels pour les noyaux 2.2.x et 2.4.x sont disponibles sur le site ftp suivant : <ftp://ftp.kernel.org/pub/linux/kernel/crypto/> et depuis le site web correspondant : < Des patchs existent pour les versions 2.0.3x dans <ftp://ftp.kerneli.org/pub/kerneli/netsource/loop/> (ne sont plus accessibles) loopback-berkeley-recent : DES et IDEA by Ian Goldberg - Page 9 -

43 loopback-device-aem : CAST et IDEA by Andrew E. Mileski Transparent Cryptographic File System < : TCFS est un système de fichiers distribué fournissant un service similaire à NFS mais avec du chiffrement en 3DES, IDEA ou RC5. Ce système est développé au Dipartimento di Informatica ed Applicazioni of the Università di Salerno (Italy) et en cours de portage sur OpenBSD et NetBSD. 6. Divers Les fonctions présentées font partie du patch secure-linux < développé par Solar Designer ces fonctions sont disponibles pour les versions et Une version de test devrait être prochainement disponible pour les versions 2.4.x. Les distributions Linux présentées sont soit en cours de développement, soit en cours d'étude. La distribution Owl est basée sur la revue proactive de code source subterfugue est une nouvelle fonctionnalité de restriction d'accès du noyau Patchs de sécurité partition /proc restreinte : Chaque utilisateur n'a accès qu'aux données concernant ses propres processus Un groupe d'administration peut être désigné pour avoir accès : à toutes les données concernant tous les processus aux événements générés durant la période d'initialisation du système (dmesg). à toutes les données concernant les connexions actives. < ou < par Daniel Podlejski liens et tubes nommés restreints dans /tmp : un processus n'a accès à un lien ou à un tube nommé dans /tmp seulement s'il lui appartient ou qu'il appartient à root. < (n'est plus disponible) par Sekure SDI < (Brazilian Info Security Team) création des descripteurs de fichiers 0, 1 et 2 pour les programmes SUID ces fichiers possèdent des significations spéciales pour les librairies de nombreux programmes y accèdent en utilisant leurs numéros usuellement affectés pile non exécutable : la pile est rendue non exécutable afin d'empêcher la majorité des exploitations par débordement de buffer de fonctionner le principal problème est la gestion des programmes en glibc2.x qui utilisent les sauts par trampoline : le noyau doit détecter et émuler les sauts par trampoline il est (théoriquement) possible de duper cette fonctionalité et d'exécuter un - Page 10 -

44 débordement de buffer 6.2 Distributions sécurisées bastille-linux < : basée sur une distribution RedHat, le but est de constituer une distribution utilisable dans les universités et les établissements éducatifs. Le projet consiste aujourd'hui en un script de durcissement de systèmes : Redhat 5.2 à 6.2 et 7.x Mandrake 7.0 & 7.1 et 8.x SlackWare 7.0 & 7.1 Solaris 2.6 & 7!!! La version est disponible depuis le 19 octobre 2000 : bugs fixes... undo, extensibilité à d'autres distributions, log only... La version est disponible depuis le 11 juin 2001 : support de Red Hat 7 et Mandrake 8, nouvelle interface graphique utilisateur, grande amélioration de l'intelligence... La prochaine version supportera RedHat 7.2 et HP-UX. Stack-Guard < : il s'agit d'un patch au compilateur gcc afin de générer du code auto-immune aux exploitations de débordements de tampons par exécution de code dans la pile. Cette méthode a montré à de maintes reprises son efficacité : les exploitations de faille de sécurité sont dans la quasi totalité de ce type. Une version de RedHat 5.2 entièrement recompilée est disponible. Il s'agit d'une approche complémentaire à : l'utilisation d'une pile non exécutable l'audit des codes sources. La version 2.O de stackguard est un port pour egcs et une version d'immunix OS 6.2 basé sur Red Hat 6.2 est disponible. Vulnérable si l'attaquant peut scanner le contenu de la pile : vulnérabilités des chaines de formats. Ex : wuftpd Une version "Immunix System 7" est disponible, intégrant d'autres outils de "tolérence aux vulnérabilités". Nexus Linux < : distribution s'adressant aux administrateurs dont la première préocupation est la sécurité, elle fournit par défaut OpenSSH et apache avec le support SSL. Cette distribution se trouve à l'état de développement : v0.5 Disponible sur le site <ftp://ftp.lemuria.org/pub/nexus/> Il s'agit en fait de l'ancienne distribution kha0s < nmrcos < : le but est de fournir un système stable et sécurisé. Basée sur une distribution SlackWare avec un noyau , il intègre plusieurs patchs de sécurité pour le noyau : "Solar Designer's patch", "Trusted path support", "Probe Detection Patch", etc. Un script durcit les droits d'accès sur de nombreux fichiers sensibles. Après avoir été très longtemps "En cours de portage sous Linux ", la version beta de nmrcos est maintenant annoncée pour octobre slinux : le but est de fournir une distribution sécurisée "à tous les niveaux". Plus complète que les autres distributions, elle devrait fournir toutes les fonctions comme la gestion des - Page 11 -

45 privilèges, le chiffrement de partitions, etc. A l'heure actuelle, le développement de cette distribution n'a toujours pas commencé. Il s'agit en fait de l'ancienne distribution securelinux. 6.3 La distribution sécurisée : Owl Owl < : système d'exploitation à la sécurité améliorée destiné comme plate-forme de serveur. Utilise la revue proactive de code source pour plusieurs types de vulnérabilités logicielles. Actuellement, seuls les morceaux de code qui : sont exécutés avec des privilèges supérieurs à ceux d'un simple utilisateur et/ou traitent typiquement des données obtenues au travers du réseau sont audités avant que le composant logiciel correspondant soit inclus. Ceci couvre les suites de codes pertinentes dans : beaucoup des bibliothèques système, tous les programmes SUID/SGID, tous les démons et services réseau. Utilise de la cryptographie "forte" dans ses composants coeur Inclut déjà quelques capacités d'applications de politique de sécurité vérification proactive des mots de passe avec "pam_passwdqc", expiration de mots de passe et de comptes contrôle d'accès basé sur les adresses réseau) et de vérification d'intégrité ("mtree"). 6.4 subterfugue subterfugue permet de limiter les accès d'un processus et de ses descendants. par Mike Coleman téléchargement : Le noyau Linux supporte nativement subterfugue depuis pre1. il est possible : de restreindre les accès disques en spécifiant : les arborescences non accessibles les arborescences accessibles en lecture seulement les arborescences accessibles en lecture et écriture d'étendre les arguments à des noms de fichiers complets et d'y appliquer des expressions rationelles (regexp) de comptabiliser le nombre d'appels systèmes et de signaux d'interdire ou de limiter les accès réseaux d'interdire la fermeture des entrées / sorties standards et d'erreur d'interdire l'envoi de signaux à des processus "étrangers" de tracer les appels systèmes (en se limitant éventuellement à certains appels seulement) de restreindre les positionnements de droits d'accès (interdire les SUID, l'écriture - Page 12 -

46 pour tous...) 7. PAM (Pluggable Authentication Modules) Historiquement, l'authentification des utilisateurs sous Unix se basait sur la saisie d'un mot de passe et sa vérification à partir du fichier /etc/passwd. A chaque amélioration de ce schéma (/etc/shadow, mots de passe jetables...) tous les programmes (login, ftpd...) devaient être réécrits pour supporter ces nouvelles fonctionnalités. PAM se veut un mécanisme flexible d'authentification des utilisateurs. Les programmes supportant PAM doivent pouvoir se lier dynamiquement à des modules chargés d'effectuer l'authentification. L'ordre d'attachement des modules et leurs configurations sont à la charge de l'administrateur système qui gère cela de façon centralisée. 7.1 Configuration Chaque application PAM doit posséder un fichier de configuration dans le répertoire /etc/pam.d. Chacun de ces fichiers est composé de 4 colonnes : type de module : auth : authentification de l'utilisateur account : gestion des utilisateurs (ex : restrictions horaires) session : tâches à effectuer en début et fin de chaque session ex : montage de répertoires, contrôle des ressources password : mise à jour du jeton d'authentification de l'utilisateur contrôle de réussite required : la réussite d'au moins un des modules required est nécessaire requisite : la réussite de tous les modules requisite est nécessaire sufficient : la réussite d'un seul module sufficient est suffisant optional : la réussite d'au moins un des modules required est nécessaire si aucun autre n'a réussi chemin du module, en général dans /lib/security. arguments optionnels Le fichier /etc/pam.d/other fournit les configurations par défaut pour tout type de module non spécifié dans le fichier de configuration de l'application. 7.2 Quelques modules intéressants pam_cracklib : ce module utilise la bibliothèque cracklib pour vérifier la solidité d'un nouveau mot de passe. Il peut également vérifier que le nouveau mot de passe n'est pas construit à partir de l'ancien. pam_limits : ce module permet de limiter les ressources accessibles à un utilisateur et/ou à un groupe comme le nombre de processus simultanés et leurs temps CPU, le nombre de fichiers ouverts simultanés et leurs tailles, le nombre de connexions simultanées, etc. La configuration se fait via le fichier /etc/security/limits.conf - Page 13 -

47 pam_rootok : permet à root l'accès à un service sans avoir à rentrer de mot de passe. A n'utiliser qu'avec chfn ou chsh, surtout pas avec login. pam_time : permet de limiter les horaires d'accès. La configuration se fait via le fichier /etc/security/time.conf pam_wheel : ne permet l'accès au compte root qu'aux seuls membres du groupe wheel. A utiliser qu'avec su. pam_cap : ce module permet de forcer l'ensemble des privilèges accordés à un utilisateur. 7.3 Références <ftp://ftp.kernel.org/pub/linux/libs/pam/> : bibliothèques et programmes PAM pour Linux. <ftp://ftp.kernel.org/pub/linux/libs/pam/linux-pam-html/> : The Linux-PAM System Administrators' Guide <ftp://ftp.kernel.org/pub/linux/libs/pam/linux-pam-html/pam.html> par Andrew G. Morgan The Linux-PAM Application Developers' Guide <ftp://ftp.kernel.org/pub/linux/libs/pam/linux-pam-html/pam_appl.html> par Andrew G. Morgan The Linux-PAM Module Writers' Guide <ftp://ftp.kernel.org/pub/linux/libs/pam/linux-pam-html/pam_modules.html> par Andrew G. Morgan Unified Login With Pluggable Authentication Modules < : Open Software Foundation Request For Comments 86.0 par V. Samar and R. Schemers (SunSoft) Hervé Schauer Consultants bis, rue de la gare Levallois-Perret Téléphone : Télécopie : Courriel : - Page 14 -

48 Les firewalls libres : netfilter, IP Filter et Packet Filter Linux Expo Paris 1er Février 2002 Jean-Baptiste Marchand Hervé Schauer Consultants Firewalls libres : netfilter, IP Filter et Packet Filter p.1 Firewalls Firewalls Logiciel de contrôle d accès au niveau réseau Fonctionnalité principale : filtrage IP Fonctionnalité supplémentaire souvent présente : traduction d adresses et de ports Filtrage IP Idée : contrôler les paquets IP autorisés à atteindre un hôte Intérêt : sécuriser un hôte de façon globale (au niveau réseau) Traduction d addresses et de ports Idée : récrire les en-têtes des paquets Intérêt : faire face à la pénurie d adresses routables sur l Internet Firewalls libres : netfilter, IP Filter et Packet Filter p.2

49 netfilter Firewalls libres Filtre de paquets du noyau Linux 2.4 Successeur d IPchains (Linux 2.2) Conçu par Paul "Rusty" Russell Développé par un noyau dur de 5 personnes Contributions pour des améliorations ou corrections IP Filter Filtre de paquets fonctionnant sous Unix libres et propriétaires Intégré dans FreeBSD et NetBSD Conçu et développé par Darren Reed Packet Filter Filtre de paquets dans OpenBSD (à partir de la version 3.0) Conçu par Daniel Hartmeier Développé par l équipe d OpenBSD Firewalls libres : netfilter, IP Filter et Packet Filter p.3 Filtrage IP standard Critères Interface réseau : entrée ou sortie Adresses IP (source et destination) : hôte ou sous-réseau Champs de l en-tête IP Fragmentation TOS et TTL Options IP Protocoles de niveau 4 : TCP, UDP et ICMP Ports source et destination (TCP et UDP) Drapeaux (TCP) Types et codes (ICMP) Actions Laisser passer Bloquer (façon silencieuse) Rejeter (message ICMP ou segment TCP avec drapeau RST) Firewalls libres : netfilter, IP Filter et Packet Filter p.4

50 Filtrage à états Principe Filtrage dynamique, en conservant des états pour les communications en cours Seuls des paquets correspondants à un état pré-existant sont acceptés Intérêt Simplifie l écriture des règles de filtrage Améliore la sécurité, en n autorisant que le trafic effectivement licite Protocoles TCP Segments appartenant à une connexion TCP en cours UDP Datagrammes en réponse à un datagramme UDP émis Messages ICMP d erreur ICMP Messages ICMP en réponse à un message ICMP émis Firewalls libres : netfilter, IP Filter et Packet Filter p.5 Filtrage à états : mise en oeuvre Mise en oeuvre Création d un état lors de la traversée du premier paquet Mémorisation de paramètres identifiant de façon unique une communication Validation des paquets par comparaison des états courants Expiration des états après un temps paramétrable Paramètres conservés TCP Adresses source et destination Ports source et destination Type, code, identifiant et numéro de séquence (ICMP) S assurer que des segments TCP font partie d une connexion en cours est complexe Real Stateful TCP Packet Filtering in Ipfilter Firewalls libres : netfilter, IP Filter et Packet Filter p.6

51 Traduction d adresses et de ports Traduction d adresses Uni-directionnelle Traduction en sortie d adresses (typiquement) privées en adresse(s) publique(s) Possibilité de changer le port source Bi-directionnelle Traduction d une adresse (typiquement) publique en une adresse (typiquement) privée et réciproquement Redirection de ports Rediriction d un port en entrée vers un autre, en modifiant l adresse de destination ou non Mise en oeuvre Fonctionnalités présentes dans netfilter, IP Filter et Packet Filter Ne sont pas détaillées ici Firewalls libres : netfilter, IP Filter et Packet Filter p.7 netfilter : chaînes Règles de filtrage placées dans des chaînes Chaîne : sous-programme Règles de filtrage : instructions Une des 3 chaînes standards est obligatoirement traversée : INPUT : paquets à destination de la machine locale OUTPUT : paquets émis par la machine locale FORWARD : paquets transitant par la machine locale Incoming / \ Outgoing -->[Routing ]---> FORWARD > [Decision] \ / ˆ v / \ / \ OUTPUT INPUT \ / \ / ˆ ----> Local Process ---- (c) 2002 Rusty Russell Firewalls libres : netfilter, IP Filter et Packet Filter p.8

52 netfilter : règles de filtrage Règles de filtrage Selection du trafic Cible à atteindre Cibles Classiques ACCEPT : paquet accepté DROP : paquet rejeté de façon silencieuse REJECT : paquet rejeté en informant l émetteur RETURN fin du parcours d une chaîne utilisateur cible par défaut dans les chaînes INPUT, OUTPUT ou FORWARD Journalisation LOG : paquet journalisé Extension du filtrage QUEUE redirection du paquet vers une application en mode utilisateur la décision de filtrage est prise par l application Firewalls libres : netfilter, IP Filter et Packet Filter p.9 netfilter : critères de filtrage Critères de filtrage classiques IP, TCP, UDP, ICMP Spécification des interfaces réseau Chaîne INPUT : interface d entrée Chaîne OUTPUT : interface de sortie Chaîne FORWARD : interfaces d entrée et de sortie Critères de filtrages moins classiques Filtrage par adresses MAC Filtrage sur l origine d un paquet local uid, gid, pid, sid du processus émetteur Firewalls libres : netfilter, IP Filter et Packet Filter p.10

53 netfilter : filtrage à états Protocoles TCP, UDP et ICMP Options permettant de comparer le trafic aux états NEW : création d un nouvel état ESTABLISHED : paquet appartenant à une communication en cours RELATED : paquet lié à une communication en cours Message ICMP d erreur Trafic lié au fonctionnement d un protocole applicatif INVALID : paquet non-identifié parmi les communications en cours Stratégie Créer un état au début de communication avec NEW Accepter les paquets liés aux communications en cours ESTABLISHED RELATED Firewalls libres : netfilter, IP Filter et Packet Filter p.11 netfilter : écriture de règles Règles Options du programme iptables Evaluation Parcourues depuis le début de la chaîne Arrêt du parcours en cas de correspondance d une règle Politique par défaut en fin des chaînes standards Retour à la chaîne parente en fin des chaînes utilisateurs Chaînes utilisateurs Possibilité de créer de nouvelles chaînes Améliore l efficacité du filtrage Regroupe des règles liées à un même type de trafic Chaînes Placer une politique par défaut pour les chaînes standards Ajouter les règles en fin de chaîne Firewalls libres : netfilter, IP Filter et Packet Filter p.12

54 netfilter : exemple IFACE=eth0 MYLAN= MYWKS= MYDNS= MYADDR= # vide les chaînes standards iptables --flush # chaînes standards bloquent par défaut iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -P FORWARD DROP # Filtrage à états iptables -A OUTPUT -i $IFACE -m state --state ESTABLISHED, RELATED -j ACCEPT iptables -A INPUT -i $IFACE -m state --state ESTABLISHED, RELATED -j ACCEPT # Administration par SSH iptables -A INPUT -i $IFACE -p tcp -s $MYWKS --sport 1024: d $MYADDR --dport 22 \ -m state --state NEW -j ACCEPT # Résolution DNS iptables -A OUTPUT -i $IFACE -p udp -s $MYADDR --sport 1024: d $MYDNS --dport 53 \ -m state --state NEW -j ACCEPT # Surveillance avec ping(1) iptables -A OUTPUT -i $IFACE -p icmp -s $MYADDR --icmp-type echo-request -d $MYLAN \ -m state --state NEW -j ACCEPT Firewalls libres : netfilter, IP Filter et Packet Filter p.13 IP Filter : généralités Fonctionnement Ordre 1. Filtrage en entrée 2. Traitement TCP/IP du noyau 3. Filtrage en sortie Schéma Règles avalon/ipfil-flow.html Spécifiées dans un fichier de configuration Syntaxe aisément compréhensible Possibilité de créer des groupes de règles Regroupement de règles portant sur un même type de trafic Mot clés head et group Deux jeux de règles possibles Actif Inactif Firewalls libres : netfilter, IP Filter et Packet Filter p.14

55 IP Filter : règles de filtrage Évaluation des règles Lues dans l ordre du fichier Celle qui s applique est la dernière Mot clé quick permet d arrêter le parcours des règles Filtrage à états keep frags autorise les fragments d un paquet en cours de réassemblage keep state autorise les paquets appartenant à une communication en cours Règles ne sont pas évaluées si le filtrage à états valide un datagramme Journalisation Option log au niveau d une règle Programme ipmon(8), journalisation via syslogd(8) Firewalls libres : netfilter, IP Filter et Packet Filter p.15 IP Filter : exemple ipf.conf # Administration par SSH pass in on xl0 proto tcp from port > 1023 to port = 22 \ flags S/SA keep state # Résolution DNS pass out on xl0 proto udp from port > 1023 to port = 53 \ keep state # Administraton avec ping(1) pass out on xl0 proto icmp from icmp-type echo to /24 \ keep state block in on xl0 all block out on xl0 all Chargement des règles ipf -Fa -f /etc/ipf.conf Statistiques ipfstat Firewalls libres : netfilter, IP Filter et Packet Filter p.16

56 Packet Filter : généralités Historique Nouveau filtre de paquets pour OpenBSD 3.0 Mêmes fonctionnalités qu IP Filter Maintenu par les développeurs de l équipe d OpenBSD Fonctionnalités nouvelles Normalisation des paquets Protège les piles TCP/IP fragiles contre des paquets anormaux Vérifie et supprime certaines anomalies dans les en-têtes Réassemble les fragments Action scrub Renforcement des numéros de séquences initiaux (ISN) TCP Pour des systèmes dont les ISNs sont prévisibles car trop peu aléatoires Option modulate state Ponts filtrants Ponts Ethernet en standard sous OpenBSD : bridge(4) Filtrage sur l une des interfaces avec Packet Filter Firewalls libres : netfilter, IP Filter et Packet Filter p.17 Packet Filter : règles de filtrage Règles Syntaxe très proche de celle d IP Filter Sucre syntaxique pour écrire des règles de façon plus synthétique Ensembles (sets) regroupant des listes d attributs Définition et expansion de variables Même mode d évaluation qu IP Filter Journalisation Option log au niveau d une règle Paquets journalisés sur l interface pflog0 Journalisation au format tcpdump(8) avec pflogd(8) Différences avec IP Filter Ordre des règles optimisée à la volée Options head et group inutiles et non-supportées Gestion des fragments option keep frags remplacé par la directive scrub Firewalls libres : netfilter, IP Filter et Packet Filter p.18

57 Packet Filter : exemple # Extrait de la section 6 de la FAQ d OpenBSD # # # Define useful variables ExtIF="fxp0" # External Interface IntNet=" /24" # Our internal network NoRouteIPs="{ /8, /16, /12, /8 }" Services="{ www, https }" # Clean up fragmented and abnormal packets scrub in all # don t allow anyone to spoof non-routeable addresses block in quick on $ExtIF from $NoRouteIPs to any block out quick on $ExtIF from any to $NoRouteIPs # only allow our machines to connect via ssh pass in quick on $ExtIF inet proto tcp from $IntNet to any port = 22 # allow others to use http and https pass in quick on $ExtIF inet proto tcp from any to any port $Services flags S/SA # finally lock the rest down with a default deny block in quick on $ExtIF from any to any # and let out-going traffic out and maintain state on established connections pass out on $ExtIF from any to any keep state Firewalls libres : netfilter, IP Filter et Packet Filter p.19 netfilter/iptables Références : netfilter HOWTO Networking Concepts HOWTO Packet Filtering HOWTO NAT HOWTO Les caractéristiques de netfilter sous Linux Firewalls libres : netfilter, IP Filter et Packet Filter p.20

58 IP Filter Références : IP Filter Pages de manuel FreeBSD et NetBSD ipf(5), ipf(8) IP Filter HOWTO Traduction française par IDEALX : Fonctionnalités avancées (des règles) d ipfilter Présentation de IP Filter à la BSDCON Firewalls libres : netfilter, IP Filter et Packet Filter p.21 Références : Packet Filter OpenBSD Packet Filter Pages de manuel OpenBSD pf.conf(5), pfctl(8) Section 6 de la FAQ OpenBSD The OpenBSD Packet Filter HOWTO Traduction française par IDEALX : Firewalls libres : netfilter, IP Filter et Packet Filter p.22

59 Gestion des certificats Linux-Expo Paris 1er Février 2002 Franck Davy Hervé Schauer Consultants < Plan Introduction Format des certificats X.509 Gestion du cycle de vie Exemples d utilisation Exemple de PKI Opensource : IDX-PKI, par IDEAL X

60 Introduction Format des certificats X.509

61 Format des certificats X.509 (1/2) Historique Norme ITU-T X.509 (recommandations X.500) Version 1 (1988) : définition des champs de base Version 2 (1993) : 2 champs optionnels Version 3 (1996) : extensions (notion de criticité) Description ASN.1 (Abstract Syntax Notation 1) Syntaxe abstraite normalisée (X.208) Syntaxe de transfert unique Règles de codage distinctives DER PEM : DER en base64 Exemple : Certificate ::= SEQUENCE { TBSCertificate ::= SEQUENCE { tbscertificate TBSCertificate, version [0] EXPLICIT Version DEFAULT v1, signaturealgorithm AlgorithmIdentifier, serialnumber CertificateSerialNumber, signaturevalue BIT STRING } signature AlgorithmIdentifier, issuer Name, validity Validity, subject Name, subjectpublickeyinfo SubjectPublicKeyInfo, issueruniqueid [1] IMPLICIT UniqueIdentifier OPTIONAL, -- If present, version shall be v2 or v3 subjectuniqueid [2] IMPLICIT UniqueIdentifier OPTIONAL, -- If present, version shall be v2 or v3 extensions [3] EXPLICIT Extensions OPTIONAL Format des certificats X.509 (2/2) Certificate: Data: Version: 3 (0x2) Serial Number: 0 (0x0) Signature Algorithm: sha1withrsaencryption Issuer: C=FR, O=FOO, CN=FOO CA Validity Not Before: Jun 30 0:00: GMT Not After : Jun 30 23:59: GMT Subject: C=FR, O=FOO, CN=FOO CA Subject Public Key Info: Public Key Algorithm: rsaencryption RSA Public Key: (2048 bit) Modulus (2048 bit): af:07:f2:91:b2:da:8d:ca:8c:5f:7c:28:3c:7c:89: [...] 6c:06 Exponent: (0x10001) X509v3 extensions: X509v3 Basic Constraints: CA:TRUE, pathlen:4 X509v3 Key Usage: Certificate Sign, CRL Sign X509v3 CRL Distribution Points: URI: Signature Algorithm: sha1withrsaencryption 04:6e:50:ee:7b:4a:01:02:63:bf:42:36:d6:be:0c:fe:22:0c: [...] 94:d6:aa

62 Extensions X.509 (v3) (1/2) Notion de criticité d une extension Contraintes d utilisation Clé publique de chiffrement/signature/échange de clé Exigences de sécurité Mécanisme de recouvrement Service de non répudiation Contraintes sur l itinéraire de certification Longueur maximale de la chaîne de certification Informations diverses Points de publication Listes de révocation Serveur OCSP Politique de certification Extensions propriétaires Extensions X.509 (v3) (2/2) Itinéraire de certification X509v3 Basic Constraints: CA:TRUE, pathlen:10 Recommandations d usage de la clé publique X509v3 Key Usage: Certificate Sign, CRL Sign X509v3 Extended Key Usage: TLS Web Client Authentication, Protection Points de publication Listes de révocation X509v3 CRL Distribution Points: URI: DNS:ldap.crl.com DirName:/C=FR/O=/OU=AC/CN=CRL Serveur OCSP Authority Information Access: OCSP - URI: Politique de certification X509v3 Certificate Policies: Policy: CPS: User Notice: Explicit Text: FOOBAR s CPS

63 Profil PKIX Description Groupe de travail IETF (1995) Objectif : développer pour l internet une PKI fondée sur les certificats X.509 Composantes Instanciation des certificats X.509v3 et des listes de révocations X.509 pour une infrastructure adaptée à l Internet [RFC2459] Protocoles d exploitation [RFC2559, RFC2585] Distributions des certificats et listes de révocation. Protocoles de gestion [RFC2510] Dialogues entre le différentes entités de la PKI. Règles d usage et considérations pratiques [RFC2527] Exigences de sécurité En matière d identification des sujets, de révocation des certificats Infrastructure générale C e < > End entity r Operational t transactions ^ and management Management / transactions transactions PKI users C v R L ^ ^ PKI management v entities R e < RA <---+ p Publish certificate o s I v v t o < CA r Publish certificate y Publish CRL ^ Management transactions v CA Gestion du cycle de vie RFC 2459 : 3 Overview of Approach

64 Cycle de vie : Création / Révocation (1/5) OpenSSL Version stable : 0.9.6c (21/12/2001) Snapshot : ftp://ftp.openssl.org/snapshot/ openssl(1) Génération du bi-clé genrsa(1), gendsa(1), gendh(1) $ openssl genrsa -out cert.key -des Bi-clé RSA de 2048 bits, chiffré 3DES-CBC Format PEM [RFC1421] -----BEGIN RSA PRIVATE KEY----- Proc-Type: 4,ENCRYPTED DEK-Info: DES-EDE3-CBC,B C4F58986 HEtRjSj9kJcQvvYg9ZtXYLc658zyrtFNTE+1/KHJ+TWJVNjfoW6gKmen96nlEZVs [...] CWD2hdXv+BoLN2JA3XQXJ0vZro+WJlP2MprbweVmVMFetrIWWAzn8Qf2z0FnPxyb -----END RSA PRIVATE KEY----- Cycle de vie : Création / Révocation (2/5) Génération de la demande de certificat req(1) $ openssl req -new (-x509) -key cert.key -out req.csr -config./openssl.cnf You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter., the field will be left blank Pays [FR]: Localite (e.g. Ville) [Levallois-Perret]: Organisation [Herve Schauer Consultants]: Nom ou URL []:Franck Davy Adresse Challenge []:secret Bi-clé généré localement Support : disque dur, carte à puce, carte PCMCIA (openssl-engine) Transmission de la demande à l autorité d enregistrement Validation : vérification "hors-bande" du challenge Signature par l autorité de certification Publication dans un annuaire

65 Cycle de vie : Création / Révocation (3/5) Extrait du fichier openssl.cnf : [ v3_req ] basicconstraints = CA:FALSE keyusage = nonrepudiation, digitalsignature, keyencipherment Demande de certificat : Certificate Request: Data: Version: 0 (0x0) Subject: C=FR, ST=Ile-de-France, L=Levallois-Perret, O=Herve Schauer Consultants, CN=Franck Subject Public Key Info: Public Key Algorithm: rsaencryption RSA Public Key: (1024 bit) Modulus (1024 bit): 00:c4:b9:c2:8f:93:f8:1e:5c:ed:e3:a9:c6:de:ea: [...] a5:ba:c1:b2:cb:43:34:aa:47 Exponent: (0x10001) Attributes: Requested Extensions: X509v3 Basic Constraints: CA:FALSE X509v3 Key Usage: Digital Signature, Non Repudiation, Key Encipherment Signature Algorithm: md5withrsaencryption 11:89:4d:74:59:3a:c4:07:c2:50:e4:e9:80:54:a7:c3:d3:6c: [...] 95:64 Cycle de vie : Création / Révocation (4/5) Signature de la demande de certificat $ openssl ca -config./openssl.cnf -extensions CLIENT_RSA_SSL -infiles req.crs -out client.pem Using configuration from openssl.cnf Enter PEM pass phrase: Check that the request matches the signature Signature ok The Subjects Distinguished Name is as follows countryname :PRINTABLE: FR stateorprovincename :PRINTABLE: Ile-de-France organizationname :PRINTABLE: Herve Schauer Consultants commonname :PRINTABLE: Franck Davy address :IA5STRING: challengepassword :PRINTABLE: secret Certificate is to be certified until Jun 30 23:59: GMT (365 days) Sign the certificate? [y/n]:y 1 out of 1 certificate requests certified, commit? [y/n]y Write out database with 1 new entries Data Base Updated

66 Cycle de vie : Création / Révocation (5/5) Révocation d un certificat $ openssl ca -config./openssl.cnf -revoke client.pem Enter PEM pass phrase: Revoking Certificate 04. Data Base Updated $ openssl ca -config./openssl.cnf -gencrl -crldays 30 Enter PEM pass phrase: -----BEGIN X509 CRL----- MIIBaDCB0jANBgkqhkiG9w0BAQQFADB5MQswCQYDVQQGEwJGUjEWMBQGA1UECBMN [...] 3w2288WnwoBuJWkdoQpvFM3FtjI9iqczebqL6g== -----END X509 CRL----- Certificate Revocation List (CRL): Version 1 (0x0) Signature Algorithm: md5withrsaencryption Issuer: /C=FR/L=Levallois-Perret/O=Herve Schauer Consultants/CN=CA SSL Last Update: Jul 30 23:59: GMT Next Update: Aug 30 23:59: GMT Revoked Certificates: Serial Number: 04 Revocation Date: Jun 28 12:49: GMT Signature Algorithm: md5withrsaencryption 2d:5f:0e:74:5e:1c:98:a5:f7:da:9c:20:06:ad:cd:72:a2:72: [...] 8b:ea Cycle de vie : Publication (1/3) Publication des : Certificats des autorités de certification/révocation Certificats des Entités terminales Listes de Révocation Publication via LDAP : Schema core : objectclass certificationauthority ( ) Attributs : authorityrevocationlist, cacertificate, certificaterevocationlist Schema inetorgperson : objectclass inetorgperson ( ) Attribut : usercertificate dn: cn=cdp, o=ca, c=fr certificaterevocationlist;binary:: MIIBJjCBkgIBATANBgkqhkiG9w0BAQUFADBBMQswCQY [...] tsyl7hmtqh/0z2hhjv63yek1hljuj4s//53cwnzfym+607g== certificaterevocationlist;base64:: TUlJQkpqQ0JrZ0lCQVRBTkJna3Foa2lHOXcwQkFRVUZ [...] BREJCTVFzd0NRWURWUVFHRXdKR1VqRVRNQkVHQTFVRQpDaE1LUTJWeWRHbE9iMjFwY3pFZE1Cc0dB objectclass: top objectclass: crldistributionpoint cn: CDP LDAP-Implementation-HOWTO Passerelle HTTP/LDAP :

67 Cycle de vie : Publication (2/3) Publication via HTTP : Types MIME [RFC2585].cer application/pkix-cert.crl application/pkix-crl Autres.cer application/x-x509-ca-cert.crl application/pkcs-crl.crt application/pkix-cert.crt application/x-x509-ca-cert.crt application/x-x509-user-cert Certificats et listes de révocation au format PEM Format et extensions Extension crldistributionpoints X509v3 CRL Distribution Points: URI: Fichier openssl.cnf (extensions req ou ca) crldistributionpoints [crl_dp] URI.1 = URI.2 = Cycle de vie : Publication (3/3) Vérification via OCSP Validation en ligne via interrogation d un serveur OCSP Requête HTTP avec méthode POST Format et extensions Extension authorityinfoaccess ( ) Authority Information Access: OCSP - URI: Fichier openssl.cnf (extensions req ou ca) authorityinfoaccess = OCSP;URI:

68 Exemples d utilisation et Démonstrations Exemple de PKI Opensource : IDX-PKI, par IDEAL X <

Les firewalls libres : netfilter, IP Filter et Packet Filter

Les firewalls libres : netfilter, IP Filter et Packet Filter Les firewalls libres : netfilter, IP Filter et Packet Filter Linux Expo Paris 1er Février 2002 Jean-Baptiste Marchand Jean-Baptiste.Marchand@hsc.fr Hervé Schauer Consultants Firewalls libres : netfilter,

Plus en détail

WWW.MELDANINFORMATIQUE.COM

WWW.MELDANINFORMATIQUE.COM Solutions informatiques Procédure Sur Comment créer un premier Site SharePoint 2010 Historique du document Revision Date Modification Autor 3 2013-04-29 Creation Daniel Roy 1. But.4 2. Configuration..4

Plus en détail

Cible de sécurité CSPN

Cible de sécurité CSPN Cible de sécurité CSPN Dropbear 2012.55 Ref 12-06-037-CSPN-cible-dropbear Version 1.0 Date June 01, 2012 Quarkslab SARL 71 73 avenue des Ternes 75017 Paris France Table des matières 1 Identification 3

Plus en détail

Tunnels et VPN. 20/02/2008 Formation Permanente Paris6 86. Sécurisation des communications

Tunnels et VPN. 20/02/2008 Formation Permanente Paris6 86. Sécurisation des communications Tunnels et VPN 20/02/2008 Formation Permanente Paris6 86 Sécurisation des communications Remplacement ou sécurisation de tous les protocoles ne chiffrant pas l authentification + éventuellement chiffrement

Plus en détail

LINUX - Sécurité. Déroulé de l'action. - 3 jours - Contenu de formation

LINUX - Sécurité. Déroulé de l'action. - 3 jours - Contenu de formation Objectif : Tout administrateur système et réseau souhaitant avoir une vision d'ensemble des problèmes de sécurité informatique et des solutions existantes dans l'environnement Linux. Prérequis : Connaissance

Plus en détail

Sécurité et Firewall

Sécurité et Firewall TP de Réseaux IP pour DESS Sécurité et Firewall Auteurs: Congduc Pham (Université Lyon 1), Mathieu Goutelle (ENS Lyon), Faycal Bouhafs (INRIA) 1 Introduction: les architectures de sécurité, firewall Cette

Plus en détail

Principales applications de Linux en sécurité

Principales applications de Linux en sécurité Principales applications de Linux en sécurité Journée du Logiciel Libre Montpellier - 22 Novembre 2002 Denis Ducamp Hervé Schauer Consultants - http://www.hsc.fr/ (c) 1998-2002 Hervé Schauer Consultants

Plus en détail

Sécurité des réseaux Firewalls

Sécurité des réseaux Firewalls Sécurité des réseaux Firewalls A. Guermouche A. Guermouche Cours 1 : Firewalls 1 Plan 1. Firewall? 2. DMZ 3. Proxy 4. Logiciels de filtrage de paquets 5. Ipfwadm 6. Ipchains 7. Iptables 8. Iptables et

Plus en détail

Figure 1a. Réseau intranet avec pare feu et NAT.

Figure 1a. Réseau intranet avec pare feu et NAT. TD : Sécurité réseau avec Pare Feu, NAT et DMZ 1. Principes de fonctionnement de la sécurité réseau Historiquement, ni le réseau Internet, ni aucun des protocoles de la suite TCP/IP n était sécurisé. L

Plus en détail

Le filtrage de niveau IP

Le filtrage de niveau IP 2ème année 2008-2009 Le filtrage de niveau IP Novembre 2008 Objectifs Filtrage : Le filtrage permet de choisir un comportement à adopter vis à vis des différents paquets émis ou reçus par une station.

Plus en détail

Netfilter & Iptables. Théorie Firewall. Autoriser le trafic entrant d'une connexion déjà établie. Permettre le trafic entrant sur un port spécifique

Netfilter & Iptables. Théorie Firewall. Autoriser le trafic entrant d'une connexion déjà établie. Permettre le trafic entrant sur un port spécifique Page 1 sur 5 Article original traduit par Kmeleon, refonte de eks. Provenant de ubuntu-fr.org Netfilter & Iptables Netfilter est un module du noyau Linux (depuis la version 2.4) qui offre la possibilité

Plus en détail

installation et configuration de systèmes TR ACADÉMIE D ORLÉANS-TOURS

installation et configuration de systèmes TR ACADÉMIE D ORLÉANS-TOURS LP CHATEAU BLANC 45 CHALETTE/LOING BAC PRO SEN TR THÈME : CONFIGURATION D UN SERVEUR TP N 4 LINUX A DISTANCE ACADÉMIE D ORLÉANS-TOURS NOM : CI 11 : INSTALLATION ET CONFIGURATION DE SYSTEMES TR OBJECTIFS

Plus en détail

SÉCURISER UN SYSTÈME LINUX/UNIX

SÉCURISER UN SYSTÈME LINUX/UNIX Réseaux et Sécurité SÉCURISER UN SYSTÈME LINUX/UNIX Réf: SRX Durée : 3 jours (7 heures) OBJECTIFS DE LA FORMATION Ce stage très pratique et technique vous montrera comment sécuriser des serveurs Linux,

Plus en détail

ISLOG Logon Tools Manuel utilisateur

ISLOG Logon Tools Manuel utilisateur ISLOG Logon Tools Manuel utilisateur Document révision 02 Copyright 2013 ISLOG Network. Tout droit réservé. Historique de version Date Auteur Description Document Version 23/08/13 F Godinho Version initiale

Plus en détail

Travaux pratiques 8.4.2 Configuration des stratégies d accès et des paramètres de la zone démilitarisée (DMZ)

Travaux pratiques 8.4.2 Configuration des stratégies d accès et des paramètres de la zone démilitarisée (DMZ) Travaux pratiques 8.4.2 Configuration des stratégies d accès et des paramètres de la zone démilitarisée (DMZ) Objectifs Se connecter au périphérique multi-fonction et afficher les paramètres de sécurité

Plus en détail

Les solutions de paiement CyberMUT (Crédit Mutuel) et P@iement CIC. Qui contacter pour commencer la mise en place d une configuration de test?

Les solutions de paiement CyberMUT (Crédit Mutuel) et P@iement CIC. Qui contacter pour commencer la mise en place d une configuration de test? Les solutions de paiement CyberMUT (Crédit Mutuel) et P@iement CIC Qui contacter pour commencer la mise en place d une configuration de test? CyberMUT Paiement - Paiement CIC Commerce Electronique mailto:centrecom@e-i.com

Plus en détail

Master d'informatique. Réseaux. Proxies et filtrage applicatif

Master d'informatique. Réseaux. Proxies et filtrage applicatif Master d'informatique Réseaux Proxies et filtrage applicatif Bureau S3-354 mailto:jean.saquet@info.unicaen.fr http://www.info.unicaen.fr/~jean/radis Proxy applicatif Un proxy, ou serveur mandataire, relaie

Plus en détail

Manuel du Desktop Sharing

Manuel du Desktop Sharing Brad Hards Traduction française : Ludovic Grossard Traduction française : Damien Raude-Morvan Traduction française : Joseph Richard 2 Table des matières 1 Introduction 5 2 Le protocole de mémoire de trame

Plus en détail

arcopole Studio Annexe 7 Architectures Site du programme arcopole : www.arcopole.fr

arcopole Studio Annexe 7 Architectures Site du programme arcopole : www.arcopole.fr 4 arcopole Studio Annexe 7 Architectures Site du programme arcopole : www.arcopole.fr Auteur du document : Esri France Version de la documentation : 1.2 Date de dernière mise à jour : 26/02/2015 Sommaire

Plus en détail

LOSLIER Mathieu IR1 31 Mai 2011. Rapport TP Firewall

LOSLIER Mathieu IR1 31 Mai 2011. Rapport TP Firewall Rapport TP Firewall 1 Table des matières Rapport TP Firewall... 1 Introduction... 3 1. Plate-forme de sécurité étudiée... 3 2. Routage classique... 3 2.1 Mise en œuvre du routage classique... 4 2.2 Configuration

Plus en détail

Connexion d un client lourd à la messagerie e-santé PACA

Connexion d un client lourd à la messagerie e-santé PACA Connexion d un client lourd à la messagerie e-santé PACA La messagerie sécurisée e-santé PACA est un service de type Webmail. Un Webmail est une interface Web rendant possible l émission, la consultation

Plus en détail

Exemple d intrusion dans un réseau

Exemple d intrusion dans un réseau Exemple d intrusion dans un réseau Cédric Blancher - blancher@cartel-info.fr Daniel Polombo - polombo@cartel-info.fr 11 décembre 2001 Plan 1 Introduction et présentation du réseau ciblé Pénétration du

Plus en détail

Chapitre 2 Accès aux partages depuis votre système d'exploitation

Chapitre 2 Accès aux partages depuis votre système d'exploitation Chapitre 2 Accès aux partages depuis votre système d'exploitation Ce chapitre présente des exemples d'accès à des partages sur le périphérique ReadyNAS Duo via différents systèmes d'exploitation. En cas

Plus en détail

ModSecurity. Cible de sécurité CSPN Version 0.96

ModSecurity. Cible de sécurité CSPN Version 0.96 Cible de sécurité CSPN Version 0.96 TABLE DES MATIERES 1 IDENTIFICATION... 3 1.1 IDENTIFICATION DE LA CIBLE DE SECURITE... 3 1.2 IDENTIFICATION DU PRODUIT... 3 2 ARGUMENTAIRE (DESCRIPTION) DU PRODUIT...

Plus en détail

Serveur Web - IIS 7. IIS 7 sous Windows 2008

Serveur Web - IIS 7. IIS 7 sous Windows 2008 Serveur Web - IIS 7 Le livre de référence de ce chapitre est «Windows Server 2008 - Installation, configuration, gestion et dépannage» des éditions ENI, disponible sur egreta. Le site de référence pour

Plus en détail

E-mail : contact@nqicorp.com - Web : http://www.nqicorp.com

E-mail : contact@nqicorp.com - Web : http://www.nqicorp.com - 5, rue Soutrane - 06560 Valbonne Sophia-Antipolis E-mail : contact@nqicorp.com - Web : http://www.nqicorp.com NQI Orchestra 3.3 - Guide d'installation Windows.................................................................

Plus en détail

Formation A2IMP. Acquisition d information sur les autres équipements du réseau. Frédéric Bongat IPSL Formation A2IMP 1

Formation A2IMP. Acquisition d information sur les autres équipements du réseau. Frédéric Bongat IPSL Formation A2IMP 1 Formation A2IMP Acquisition d information sur les autres Frédéric Bongat IPSL Formation A2IMP 1 Idée : corréler des informations via d autres Informations de base Connaître l horodatage (date, heure) des

Plus en détail

A. Introduction. Chapitre 4. - les entités de sécurité ; - les sécurisables ; - les autorisations.

A. Introduction. Chapitre 4. - les entités de sécurité ; - les sécurisables ; - les autorisations. Chapitre 4 A. Introduction Le contrôle d'accès représente une opération importante au niveau de la gestion de la sécurité sur un serveur de bases de données. La sécurisation des données nécessite une organisation

Plus en détail

CS REMOTE CARE - WEBDAV

CS REMOTE CARE - WEBDAV CS REMOTE CARE - WEBDAV Configuration des serveurs archange KONICA MINOLTA BUSINESS SOLUTIONS FRANCE Date Version Marque de révision Rédaction 18/10/2011 1 - Claude GÉRÉMIE Nicolas AUBLIN Sommaire 1) PRINCIPE

Plus en détail

Système Principal (hôte) 2008 Enterprise x64

Système Principal (hôte) 2008 Enterprise x64 Network Shutdown Module V3 Extension du Manuel Utilisateur pour architecture Virtualisée avec : Hyper-V 6.0 Manager Hyper-V Server (R1&R2) de Microsoft Hyper-V 6.0 Network Shutdown Module Système Principal

Plus en détail

DEFINITION... 2 EXEMPLE SANS PROXY... 2 EXEMPLE AVEC PROXY... 2 LE REVERSE-PROXY... 2 EXEMPLE AVEC WINGATE...

DEFINITION... 2 EXEMPLE SANS PROXY... 2 EXEMPLE AVEC PROXY... 2 LE REVERSE-PROXY... 2 EXEMPLE AVEC WINGATE... Serveur Proxy Sommaire : DEFINITION... 2 EXEMPLE SANS PROXY... 2 EXEMPLE AVEC PROXY... 2 LE REVERSE-PROXY... 2 EXEMPLE AVEC WINGATE... 3 POSTE CLIENT... 8 EXEMPLE AVEC SQUID (SOUS WINDOWS)... 8 POSTE CLIENT...10

Plus en détail

Administration réseau Accès aux fichiers distants

Administration réseau Accès aux fichiers distants Administration réseau Accès aux fichiers distants A. Guermouche A. Guermouche Cours 8 : NFS & SMB 1 Plan 1. Introduction 2. NFS 3. SAMBA A. Guermouche Cours 8 : NFS & SMB 2 Plan Introduction 1. Introduction

Plus en détail

E-mail : contact@nqicorp.com - Web : http://www.nqicorp.com

E-mail : contact@nqicorp.com - Web : http://www.nqicorp.com - 5, rue Soutrane - 06560 Valbonne Sophia-Antipolis E-mail : contact@nqicorp.com - Web : http://www.nqicorp.com NQI Orchestra 3.3 - Guide d'installation Linux....................................................................

Plus en détail

Procédure d installation de la solution Central WiFI Manager CWM

Procédure d installation de la solution Central WiFI Manager CWM Procédure d installation de la solution Central WiFI Manager CWM Introduction : Central WiFi Manager est une solution serveur basée sur une interface web permettant la gestion centralisée de points d accès

Plus en détail

4D v11 SQL Release 6 (11.6) ADDENDUM

4D v11 SQL Release 6 (11.6) ADDENDUM ADDENDUM Bienvenue dans la release 6 de 4D v11 SQL. Ce document présente les nouveautés et modifications apportées à cette nouvelle version du programme. Augmentation des capacités de chiffrement La release

Plus en détail

FILTRAGE de PAQUETS NetFilter

FILTRAGE de PAQUETS NetFilter TP RESEAUX MMI Semestre 3 FILTRAGE de PAQUETS NetFilter OBJECTIF : Introduction à Netfilter. Configuration d'un firewall. MATERIELS : (Machines Virtuelles) 1 Serveur Debian avec apache d'installé, 1 Poste

Plus en détail

Manuel du logiciel PrestaTest.

Manuel du logiciel PrestaTest. Manuel du logiciel. Ce document décrit les différents tests que permet le logiciel, il liste également les informations nécessaires à chacun d entre eux. Table des matières Prérequis de PrestaConnect :...2

Plus en détail

Serveur(s) / Serveur d'applications : Linux Debian

Serveur(s) / Serveur d'applications : Linux Debian (s) / d'applications : Linux Debian On appelle généralement un serveur la machine qui permet l'organisation et la gestion du parc informatique de l'entreprise. Le choix du serveur est important, c'est

Plus en détail

Administration réseau. Architecture réseau et Sécurité

Administration réseau. Architecture réseau et Sécurité Administration réseau Architecture réseau et Sécurité Pourquoi la sécurité? Maladroits, pirates, plaisantins et autres malveillants Protéger ce qu'on a à protéger Continuer à fonctionner Responsabilité

Plus en détail

STATISTICA Version 12 : Instructions d'installation

STATISTICA Version 12 : Instructions d'installation STATISTICA Version 12 : Instructions d'installation Réseau en Licences Flottantes avec Nomadisme Remarques : 1. L'installation de la version réseau de STATISTICA s'effectue en deux temps : a) l'installation

Plus en détail

LANDPARK ACTIVE DIRECTORY OPEN/LDAP

LANDPARK ACTIVE DIRECTORY OPEN/LDAP LANDPARK ACTIVE DIRECTORY OPEN/LDAP Solutions complètes d'inventaire, de gestion de parc et de helpdesk ITIL Avril 2014 LANDPARK ACTIVE DIRECTORY /OPENLDAP INDISPENSABLE POUR INTÉGRER AUTOMATIQUEMENT TOUS

Plus en détail

Fonctionnalités du Front Office pour l utilisateur final

Fonctionnalités du Front Office pour l utilisateur final Simple, pas cher Efficace! Fonctionnalités du Front Office pour l utilisateur final Index Introduction Page d'accueil Page des tarifs Compte client Gestion du compte Contacts Envoyer un fax Mail to fax

Plus en détail

Tunnel SSH. 1) Serveur Web et tunnel SSH, console d administration. 2) Toujours utiliser l option tunnel SSH

Tunnel SSH. 1) Serveur Web et tunnel SSH, console d administration. 2) Toujours utiliser l option tunnel SSH Tunnel SSH 1) Serveur Web et tunnel SSH, console d administration Une console de gestion est disponible dans l outil d administration Cette console de gestion vous permet de configurer les services de

Plus en détail

Utilisation des ressources informatiques de l N7 à distance

Utilisation des ressources informatiques de l N7 à distance Utilisation des ressources informatiques de l N7 à distance Romain Pignard - Net7/INP-Net 27 mars 2010 Résumé Ce document non officiel explique comment utiliser les ressources informatiques de l école

Plus en détail

Accès au serveur SQL. Où ranger les accès au serveur SQL?

Accès au serveur SQL. Où ranger les accès au serveur SQL? 150 requête SQL, cela aura un impact sur un nombre limité de lignes et non plus sur l ensemble des données. MySQL propose une clause originale en SQL : LIMIT. Cette clause est disponible avec les différentes

Plus en détail

SQL Server 2012 - Administration d'une base de données transactionnelle avec SQL Server Management Studio (édition enrichie de vidéos)

SQL Server 2012 - Administration d'une base de données transactionnelle avec SQL Server Management Studio (édition enrichie de vidéos) Présentation 1. Introduction 13 2. Présentation de SQL Server 14 2.1 Qu'est-ce qu'un SGBDR? 14 2.2 Mode de fonctionnement Client/Serveur 16 2.3 Les plates-formes possibles 17 2.4 Les composants de SQL

Plus en détail

Expérience d un hébergeur public dans la sécurisation des sites Web, CCK. Hinda Feriani Ghariani Samedi 2 avril 2005 Hammamet

Expérience d un hébergeur public dans la sécurisation des sites Web, CCK. Hinda Feriani Ghariani Samedi 2 avril 2005 Hammamet Expérience d un hébergeur public dans la sécurisation des sites Web, CCK Hinda Feriani Ghariani Samedi 2 avril 2005 Hammamet Plan Introduction Sécurisation des sites Web hébergés a Conclusion Introduction

Plus en détail

La sécurité des Réseaux Partie 6.1 Les pare-feus

La sécurité des Réseaux Partie 6.1 Les pare-feus La sécurité des Réseaux Partie 6.1 Les pare-feus Fabrice Theoleyre Enseignement : INSA Lyon / CPE Recherche : Laboratoire CITI / INSA Lyon Références F. Ia et O. Menager, Optimiser et sécuriser son trafic

Plus en détail

Objectif des gardes barrières. Barrière de Sécurité. Pare-feu. Pare-feu. Types de Pare-feu. Une vue d'ensemble

Objectif des gardes barrières. Barrière de Sécurité. Pare-feu. Pare-feu. Types de Pare-feu. Une vue d'ensemble ASR4 réseaux Barrière de Sécurité Introduction Serveur de proximité, pare-feu IP, filtrage, architecture 1 Objectif des gardes barrières Protéger un environnement (vis à vis de l extérieur et de l intérieur)

Plus en détail

Restriction sur matériels d impression

Restriction sur matériels d impression Restriction sur matériels d impression Objectif : Restreindre l accès aux matériels multifonctions Description des matériels : Serveur d impression : SVAWAV01 (10.204.1.204) Ricoh Aficio MP C4501 o IP

Plus en détail

ZABBIX est distribué sous licence GNU General Public License Version 2 (GPL v.2).

ZABBIX est distribué sous licence GNU General Public License Version 2 (GPL v.2). Nom du projet : Zabbix Description : ZABBIX est un logiciel open source créé par Alexei Vladishev. Zabbix permet de surveiller le statut de divers services réseau, serveurs et autres matériels réseau.

Plus en détail

GUIDE NSP Activation et gestion des produits avec NSP

GUIDE NSP Activation et gestion des produits avec NSP GUIDE NSP Activation et gestion des produits avec NSP Ce document s applique aux versions de produits suivants : CODESOFT 2014 LABELVIEW 2014 LABEL ARCHIVE 2014 LABEL MATRIX 2014 PRINT MODULE 2014 SENTINEL

Plus en détail

ComTrafic. Installation du logiciel. 1 Prérequis. Page 1. 1.1 Configuration nécessaire. 1.2 Préparation du serveur

ComTrafic. Installation du logiciel. 1 Prérequis. Page 1. 1.1 Configuration nécessaire. 1.2 Préparation du serveur 1 Prérequis 1.1 Configuration nécessaire Le logiciel ComTrafic s'installe sur la majorité des configurations actuelles, sauf cas particulier le PC est non dédié à l'application. Configuration matérielle

Plus en détail

Alexis Lechervy Université de Caen. M1 Informatique. Réseaux. Filtrage. Bureau S3-203 mailto://alexis.lechervy@unicaen.fr

Alexis Lechervy Université de Caen. M1 Informatique. Réseaux. Filtrage. Bureau S3-203 mailto://alexis.lechervy@unicaen.fr M1 Informatique Réseaux Filtrage Bureau S3-203 mailto://alexis.lechervy@unicaen.fr Sécurité - introduction Au départ, très peu de sécurité dans les accès réseaux (mots de passe, voyageant en clair) Avec

Plus en détail

Déploiement d IPSec à l aide de stratégies et de règles de sécurité de connexion

Déploiement d IPSec à l aide de stratégies et de règles de sécurité de connexion Déploiement d IPSec à l aide de stratégies et de règles de sécurité de connexion Sommaire IPSec sous les réseaux Windows 2008... 2 Exercice 1 : Installation des services Telnet... 4 Exercice 2 : Création

Plus en détail

TP4 : Firewall IPTABLES

TP4 : Firewall IPTABLES Module Sécurité TP4 : Firewall IPTABLES Ala Rezmerita François Lesueur Le TP donnera lieu à la rédaction d un petit fichier texte contenant votre nom, les réponses aux questions ainsi que d éventuels résultats

Plus en détail

TCP/IP, NAT/PAT et Firewall

TCP/IP, NAT/PAT et Firewall Année 2011-2012 Réseaux 2 TCP/IP, NAT/PAT et Firewall Nicolas Baudru & Nicolas Durand 2e année IRM ESIL Attention! Vous devez rendre pour chaque exercice un fichier.xml correspondant à votre simulation.

Plus en détail

Administration via l'explorateur WebSphere MQ

Administration via l'explorateur WebSphere MQ Ce document présente l utilisation de l Explorateur WebSphere MQ, et en particulier sa capacité à administrer des Queue Manager distants. Il aborde également les problèmes de sécurité liés à l administration

Plus en détail

Manuel d administration

Manuel d administration Gestion et sécurité de l accueil visiteurs Manuel d administration Version 1.35 Sommaire 1- Introduction... 3 2- L outil d administration WiSecure... 4 2.1 Lancement de l interface d administration...

Plus en détail

[ Sécurisation des canaux de communication

[ Sécurisation des canaux de communication 2014 ISTA HAY RIAD FORMATRICE BENSAJJAY FATIHA OFPPT [ Sécurisation des canaux de communication Protocole IPsec] Table des matières 1. Utilisation du protocole IPsec... 2 2. Modes IPsec... 3 3. Stratégies

Plus en détail

FTPS AVEC UNE APPLIANCE FAST360 EN COUPURE. Table des matières

FTPS AVEC UNE APPLIANCE FAST360 EN COUPURE. Table des matières FTPS AVEC UNE APPLIANCE FAST360 EN COUPURE Table des matières Principes de FTPS... 2 Généralités... 2 FTPS en mode implicite... 2 FTPS en mode explicite... 3 Certificats SSL / TLS... 3 Atelier de tests

Plus en détail

S E C U R I N E T S C l u b d e l a s é c u r i t é i n f o r m a t i q u e I N S A T. Atelier IDS. Snort. Outil de Détection d intrusion

S E C U R I N E T S C l u b d e l a s é c u r i t é i n f o r m a t i q u e I N S A T. Atelier IDS. Snort. Outil de Détection d intrusion Atelier IDS Snort Outil de Détection d intrusion Introduction Les systèmes de détection d intrusion ou IDS pour (Intrusion Detection System) sont indispensables pour la sécurité du réseau, ils permettent

Plus en détail

INTRODUCTION A LA SECURITE DES RESEAUX

INTRODUCTION A LA SECURITE DES RESEAUX INTRODUCTION A LA SECURITE DES RESEAUX OBJECTIFS de la SECURITE des DONNEES (relativement à des personnes non autorisées) Confidentielles-ne doivent pas être lues Permanentes-ne doivent pas être altérées

Plus en détail

Logiciel de connexion sécurisée. M2Me_Secure. NOTICE D'UTILISATION Document référence : 9016809-01

Logiciel de connexion sécurisée. M2Me_Secure. NOTICE D'UTILISATION Document référence : 9016809-01 Logiciel de connexion sécurisée M2Me_Secure NOTICE D'UTILISATION Document référence : 9016809-01 Le logiciel M2Me_Secure est édité par ETIC TELECOMMUNICATIONS 13 Chemin du vieux chêne 38240 MEYLAN FRANCE

Plus en détail

Le service FTP. M.BOUABID, 04-2015 Page 1 sur 5

Le service FTP. M.BOUABID, 04-2015 Page 1 sur 5 Le service FTP 1) Présentation du protocole FTP Le File Transfer Protocol (protocole de transfert de fichiers), ou FTP, est un protocole de communication destiné à l échange informatique de fichiers sur

Plus en détail

Configurer un environnement de travail informatisé

Configurer un environnement de travail informatisé Configurer un environnement de travail informatisé Ce diaporama présente une liste, non exhaustive, de ce qui peut être configuré, mais n explique pas comment le faire en pratique. Cet aspect est traité

Plus en détail

PPE Installation d un serveur FTP

PPE Installation d un serveur FTP Introduction : Tout au long de ce tutorial nous allons créer un serveur FTP, commençons tout d abord à voir ce qu est un serveur FTP. File Transfer Protocol (protocole de transfert de fichiers), ou FTP,

Plus en détail

Sécurité des bases de

Sécurité des bases de HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet CLUSIR-EST Sécurité des bases de données Louis Nyffenegger Louis Nyffenegger

Plus en détail

L3 informatique TP n o 2 : Les applications réseau

L3 informatique TP n o 2 : Les applications réseau L3 informatique TP n o 2 : Les applications réseau Sovanna Tan Septembre 2009 1/20 Sovanna Tan L3 informatique TP n o 2 : Les applications réseau Plan 1 Transfert de fichiers 2 Le Courrier électronique

Plus en détail

STATISTICA Version 12 : Instructions d'installation

STATISTICA Version 12 : Instructions d'installation STATISTICA Version 12 : Instructions d'installation Réseau Classique en Licences Flottantes Remarques : 1. L'installation de la version réseau de STATISTICA s'effectue en deux temps : a) l'installation

Plus en détail

IIS (Internet Information Services) est le serveur Web de Microsoft. Il assure les mêmes fonctions qu'un serveur Web tel qu Apache.

IIS (Internet Information Services) est le serveur Web de Microsoft. Il assure les mêmes fonctions qu'un serveur Web tel qu Apache. Projet Serveur Web I. Contexte II. Définitions On appelle serveur Web aussi bien le matériel informatique que le logiciel, qui joue le rôle de serveur informatique sur un réseau local ou sur le World Wide

Plus en détail

Antivirus TrendMicro

Antivirus TrendMicro Antivirus TrendMicro APPLICATION VERSION OfficeScan 5x Protection Antivirale pour clients Windows 9598Me et Windows NT Workstation2000 PROXP SOMMAIRE I. COMMENT FONCTIONNE OFFICESCAN... 2 II. INSTALLATION

Plus en détail

Prise de contrôle à distance de PC

Prise de contrôle à distance de PC Prise de contrôle à distance de PC VNC = Virtual Network Computing Il sagit de prendre très facilement le contrôle d'un PC à distance en utilisant un programme performant. Par exemple, si vous souhaitez

Plus en détail

SQL Server 2014 Administration d'une base de données transactionnelle avec SQL Server Management Studio

SQL Server 2014 Administration d'une base de données transactionnelle avec SQL Server Management Studio Présentation 1. Introduction 13 2. Présentation de SQL Server 14 2.1 Qu'est-ce qu'un SGBDR? 15 2.2 Mode de fonctionnement client/serveur 16 2.3 Les plates-formes possibles 18 2.4 Les composants de SQL

Plus en détail

Présentation du relais HTTP Open Source Vulture. Arnaud Desmons <ads@intrinsec.com> Jérémie Jourdin <jjn@intrinsec.com>

Présentation du relais HTTP Open Source Vulture. Arnaud Desmons <ads@intrinsec.com> Jérémie Jourdin <jjn@intrinsec.com> Arnaud Desmons Jérémie Jourdin Présentation Motivations Historique Démonstration Présentation fonctionnelle Présentation technique L'interface d'administration Roadmap

Plus en détail

ResEl 101 : Présentation des fonctionnalités de Linux utilisées au ResEl

ResEl 101 : Présentation des fonctionnalités de Linux utilisées au ResEl ResEl 101 : Présentation des fonctionnalités de Linux utilisées au ResEl Association ResEl Réseau des Élèves de l ENST Bretagne 23 Septembre 2005 Association ResEl (Réseau

Plus en détail

Microsoft Dynamics. Installation de Management Reporter for Microsoft Dynamics ERP

Microsoft Dynamics. Installation de Management Reporter for Microsoft Dynamics ERP Microsoft Dynamics Installation de Management Reporter for Microsoft Dynamics ERP Date : mai 2010 Table des matières Introduction... 3 Présentation... 3 Configuration requise... 3 Installation de Management

Plus en détail

RTE Technologies. RTE Geoloc. Configuration avec Proxy ou Firewall

RTE Technologies. RTE Geoloc. Configuration avec Proxy ou Firewall RTE Technologies RTE Geoloc Configuration avec Proxy ou Firewall 2 Septembre 2010 Table des matières Introduction... 3 Présentation de RTE Geoloc... 3 Configuration des paramètres de sécurité... 3 Configuration

Plus en détail

Comprendre le fonctionnement d un firewall et d une DMZ ; Étudier les règles de filtrage et de translation entre réseaux privées et public.

Comprendre le fonctionnement d un firewall et d une DMZ ; Étudier les règles de filtrage et de translation entre réseaux privées et public. TP 8.1 ÉTUDE D UN FIREWALL OBJECTIFS Comprendre le fonctionnement d un firewall et d une DMZ ; Étudier les règles de filtrage et de translation entre réseaux privées et public. PRÉ-REQUIS Système d exploitation

Plus en détail

DOSSIER TECHNIQUE INSTALLATION PASEO

DOSSIER TECHNIQUE INSTALLATION PASEO DOSSIER TECHNIQUE INSTALLATION PASEO TABLE DES MATIERES 1 Description des produits installés... 3 2 Descriptif des processus d installation produits... 4 2.1 Sql server 2000... 4 2.2 Sql server 2000 service

Plus en détail

Manuel d installation et d utilisation du logiciel GigaRunner

Manuel d installation et d utilisation du logiciel GigaRunner Manuel d installation et d utilisation du logiciel GigaRunner Manuel Version : V1.6 du 12 juillet 2011 Pour plus d informations, vous pouvez consulter notre site web : www.gigarunner.com Table des matières

Plus en détail

C. Configuration des services de transport

C. Configuration des services de transport Page 282 Chapitre 8 Dans la version 2013 d'exchange, les dossiers publics sont devenus un type de boîtes aux lettres et utilisent les mêmes mécanismes de routage que les e-mails. - Le message est destiné

Plus en détail

HP Data Protector Express Software - Tutoriel 4. Utilisation de Quick Access Control (Windows uniquement)

HP Data Protector Express Software - Tutoriel 4. Utilisation de Quick Access Control (Windows uniquement) HP Data Protector Express Software - Tutoriel 4 Utilisation de Quick Access Control (Windows uniquement) Que contient ce tutoriel? Quick Access Control est une application qui s'exécute indépendamment

Plus en détail

Installation / Sauvegarde Restauration / Mise à jour

Installation / Sauvegarde Restauration / Mise à jour Installation / Sauvegarde Restauration / Mise à jour SPIP version 1.8.x Serveur (Linux) Jean Sébastien BARBOTEU dev.jsb@laposte.net Introduction Nous allons aborder tous les aspects techniques liés à la

Plus en détail

GIR SabiWeb Prérequis du système

GIR SabiWeb Prérequis du système GIR SabiWeb Prérequis du système www.gir.fr info@gir.fr Version 1.0-0, mai 2007 2 Copyright c 2006-2007 klervi. All rights reserved. La reproduction et la traduction de tout ou partie de ce manuel sont

Plus en détail

Dossier Technique. Détail des modifications apportées à GRR. Détail des modifications apportées à GRR Le 17/07/2008. Page 1/10

Dossier Technique. Détail des modifications apportées à GRR. Détail des modifications apportées à GRR Le 17/07/2008. Page 1/10 Dossier Technique Page 1/10 Sommaire : 1. REPONSE TECHNIQUE A LA DEMANDE 3 1.1. Prise en compte de la dernière version de phpcas 3 1.2. Gestion de la connexion à GRR 3 1.2.1. Récupération des attributs

Plus en détail

titre : ssh - utilisation Système : CentOS 5.7 Technologie : ssh Auteur : Charles-Alban BENEZECH

titre : ssh - utilisation Système : CentOS 5.7 Technologie : ssh Auteur : Charles-Alban BENEZECH 2012 Les tutos à toto Secure SHell - utilisation Réalisée sur CentOS 5.7 Ecrit par Charles-Alban BENEZECH 2012 titre : ssh - utilisation Système : CentOS 5.7 Technologie : ssh Auteur : Charles-Alban BENEZECH

Plus en détail

Travaux Pratiques R&T 2 ème année Durée : 3 heures TP R2b SECURITE RESEAUX Sécurité des services. Objectifs du TP

Travaux Pratiques R&T 2 ème année Durée : 3 heures TP R2b SECURITE RESEAUX Sécurité des services. Objectifs du TP Travaux Pratiques R&T 2 ème année Durée : 3 heures TP R2b SECURITE RESEAUX Sécurité des services Noms : Rabenjamina Solohaja et Tharic Faris Groupe : 5 Date : 21/11/2014 Objectifs du TP - Installation

Plus en détail

Guide d installation JMap 5.0

Guide d installation JMap 5.0 Guide d installation JMap 5.0 Installation de JMap L installation de JMap se fait typiquement sur un serveur qui sera accédé par l ensemble des utilisateurs. Lors de l installation, toutes des composantes

Plus en détail

Windows sur Kimsufi avec ESXi

Windows sur Kimsufi avec ESXi Introduction Depuis fin 2013 les serveurs Kimsufi sont livrés avec une seule adresse IPv4 et une seule adresse IPv6. De même les distributions Windows ne sont plus disponibles à l'installation Il est cependant

Plus en détail

Installer SharePoint Foundation 2010 sur Windows 7

Installer SharePoint Foundation 2010 sur Windows 7 Installer SharePoint Foundation 2010 sur Windows 7 Installer SP Foundation 2010 sur Windows Seven Lorsque l'on souhaite développer dans le monde SharePoint, il existe plusieurs solutions. La méthode classique

Plus en détail

LINUX REDHAT, SERVICES RÉSEAUX/INTERNET

LINUX REDHAT, SERVICES RÉSEAUX/INTERNET LINUX REDHAT, SERVICES RÉSEAUX/INTERNET Réf: LIH Durée : 4 jours (7 heures) OBJECTIFS DE LA FORMATION Ce cours pratique vous permettra de maîtriser le fonctionnement des services réseaux sous Linux RedHat.

Plus en détail

Guide d'utilisation du CFEnet Local, version 2 1 / 8

Guide d'utilisation du CFEnet Local, version 2 1 / 8 Livrable Automate de Transmission des Fichiers CFEnet, version 2 : Guide d'utilisation Version Auteur Validation Date de diffusion Destinataires Version de travail Thierry Mallard Thierry

Plus en détail

Nom : Prénom : Groupe :

Nom : Prénom : Groupe : Nom : Prénom : Groupe : TP : utilisation de ssh 1 Travail préliminaire. Pour ce TP vous devrez utiliser les comptes root/tpreseau et tpreseau/disket. Restaurez votre machine en chargeant le système marqué

Plus en détail

Exercices Active Directory (Correction)

Exercices Active Directory (Correction) Exercices Active Directory (Correction) Exercice : Scénarios pour l'implémentation de composants logiques AD DS Lire les scénarios suivants et déterminer les composants logiques AD DS à déployer dans chaque

Plus en détail

Le module Cyber École du SLIS 4.1 0.9

Le module Cyber École du SLIS 4.1 0.9 Documentation SLIS 4 Le module Cyber École du SLIS 4.1 0.9 Novembre 2009 Table des matières I - Cyber École 5 A. Le module Cyber-École...5 1. Installation sur le serveur... 5 2. Utilisation par les clients...

Plus en détail

SENTINEL S/5 avec CODESOFT Version 8

SENTINEL S/5 avec CODESOFT Version 8 SENTINEL S/5 avec CODESOFT Version 8 TEKLYNX International Copyright 2005 5 Décembre, 2005 RN-0001.00 PRODUCT RELEASE NOTES SENTINEL S/5 version 5.01 Release Notes v.fr 1 SENTINEL S/5 avec CODESOFT version

Plus en détail

GFI LANguard Network Security Scanner v9 : Une application complète pour la protection du réseau

GFI LANguard Network Security Scanner v9 : Une application complète pour la protection du réseau GFI LANguard NSS v9 novembre 2008 Introduction GFI LANguard Network Security Scanner v9 : Une application complète pour la protection du réseau Distributeur pour le marché francophone des solutions GFI

Plus en détail

Phase 1 : Introduction 1 jour : 31/10/13

Phase 1 : Introduction 1 jour : 31/10/13 Programme de formation Agence Nord Armand DISSAUX Tel. 03 59 39 13 42 Mob. 06 72 48 13 12 @ adissaux@capensis.fr Session Linux 31 Octobre au 20 Décembre 2013 (31 jours soient 232h30) Phase 1 : Introduction

Plus en détail