Le logiciel libre en sécurité. L'intérêt du logiciel libre en sécurité

Transcription

1 [Accueil] [Plan] [Besoins] [Libre] [Proprio] [LibreSecu] [SecuLibre] [Exemples] [Conclusion] [Ressources] Le logiciel libre en sécurité L'intérêt du logiciel libre en sécurité Linux-Expo Paris 1 Février 2002 Hervé Schauer <Herve.Schauer@hsc.fr> Hervé Schauer Consultants Reproduction strictement interdite Hervé Schauer Consultants bis, rue de la Gare - F Levallois-Perret - France Téléphone : Télécopie : Courriel : <secretariat@hsc.fr> - Page 1 -

2 [Accueil] [Plan] [Besoins] [Libre] [Proprio] [LibreSecu] [SecuLibre] [Exemples] [Conclusion] [Ressources] Le logiciel libre en sécurité Plan de la présentation Hervé Schauer Consultants Besoins des utilisateurs Le logiciel libre Le logiciel propriétaire en sécurité Le logiciel libre et la sécurité La sécurité grâce au logiciel libre Exemples de logiciels libres pour la sécurité Conclusion Références & Ressources Hervé Schauer Consultants bis, rue de la Gare - F Levallois-Perret - France Téléphone : Télécopie : Courriel : <secretariat@hsc.fr> - Page 2 -

3 [Accueil] [Plan] [Besoins] [Libre] [Proprio] [LibreSecu] [SecuLibre] [Exemples] [Conclusion] [Ressources] Hervé Schauer Consultants Cabinet de consultants en sécurité Unix, WNT, TCP/IP et Internet depuis consultants Expérience de la sécurité Unix depuis 1987 Expérience de la sécurité Internet depuis 1991 Expérience de la sécurité WNT depuis 1997 Conception et architecture sécurité Internet/Intranet détection d'intrusion commerce électronique Mise en place de systèmes de sécurité Audits Tests d'intrusion Veille technologique en vulnérabilités Formations Plus de 30 produits de sécurité maitrisés 200 références dans tous les secteurs d'activités et sur tous les continents Hervé Schauer Consultants bis, rue de la Gare - F Levallois-Perret - France Téléphone : Télécopie : Courriel : <secretariat@hsc.fr> - Page 3 -

4 [Accueil] [Plan] [Besoins] [Libre] [Proprio] [LibreSecu] [SecuLibre] [Exemples] [Conclusion] [Ressources] HSC et le logiciel libre Contribution à Sendmail (01/1992) Rediffusion de la conférence des BBS LINUX.FR en newsgroup resif.info.linux (01/1993) Création de la hiérarchie de news fr. et de fr.comp.os.linux (04/1993) Dossier Unix sur PC de Tribunix (07/1993) Installation en clientèle du premier 386BSD (1994) Installation en clientèle du premier Linux (01/1995) Présentations et formations en français Formation Sendmail (1992) Formation Bind (1992) Présentations de PGP (1994), ssh, SSL, Apache avec certificats Sensibilisation à l'intérêt du logiciel libre en sécurité ( ) Tutoriel sécurité Linux dans le cadre de Linux-Expo (1999) Formation Postfix (1999), (support de cours en ligne) Formation Sécurité Linux (1999), (support de cours en ligne) Publication de logiciels libres : Babelweb, Filterrules, Nstreams, XML-logs, etc Hervé Schauer Consultants bis, rue de la Gare - F Levallois-Perret - France Téléphone : Télécopie : Courriel : <secretariat@hsc.fr> - Page 4 -

5 [Accueil] [Plan] [Besoins] [Libre] [Proprio] [LibreSecu] [SecuLibre] [Exemples] [Conclusion] [Ressources] Besoins des utilisateurs Solution qui répond à ses besoins de sécurité Solution qui répond à ses besoins de services Solution qui répond aux moyens : humains et d'exploitation financiers Etape Etape répondre : Définissez vos besoins et vos moyens : Choisissez les architectures et les outils pour y Hervé Schauer Consultants bis, rue de la Gare - F Levallois-Perret - France Téléphone : Télécopie : Courriel : <secretariat@hsc.fr> - Page 5 -

6 [Accueil] [Plan] [Besoins] [Libre] [Proprio] [LibreSecu] [SecuLibre] [Exemples] [Conclusion] [Ressources] Le logiciel libre Logiciel libre de droit protégé par le droit d'auteur l'auteur autorise la copie Logiciel dont le code source est accessible Logiciel dont le code source est modifiable GNU (Richard Stallman, 1984) Open-source (Eric Raymond, 1998) Linux est un logiciel libre Hervé Schauer Consultants bis, rue de la Gare - F Levallois-Perret - France Téléphone : Télécopie : Courriel : <secretariat@hsc.fr> - Page 6 -

7 [Accueil] [Plan] [Besoins] [Libre] [Proprio] [LibreSecu] [SecuLibre] [Exemples] [Conclusion] [Ressources] Le logiciel propriétaire en sécurité Impossibilité d'obtenir une adaptation à un contexte spécifique Impossibilité d'obtenir une explication sur le fonctionnement du produit Réponse habituelle : "secret industriel" Exemple de question qui n'a jamais reçu de réelle réponse chez un fournisseur : "que vérifie votre filtrage de session (= inspection avec état)?" Grosses surprises lorsque l'on fait l'effort de faire de l'ingéniérie inverse et des tests intensifs Et les doutes subsistent : Difficulté d'obtention d'un support à la hauteur de l'importance du sujet Mauvais respect des standards Exemple : piles IPsec Hervé Schauer Consultants bis, rue de la Gare - F Levallois-Perret - France Téléphone : Télécopie : Courriel : <secretariat@hsc.fr> - Page 7 -

8 [Accueil] [Plan] [Besoins] [Libre] [Proprio] [LibreSecu] [SecuLibre] [Exemples] [Conclusion] [Ressources] Le logiciel libre et la sécurité Les caractéristiques du logiciel libre sont un atout en sécurité Code source supérieur au logiciel propriétaire taille du code modularité du code lisibilité du code qualité du code Logiciel moins complexe que le logiciel propriétaire Logiciel souvents supérieur et plus industriel Logiciel toujours documenté Logiciel réalisé sans pression pas de contrainte de temps pas de contraintes financières Bon respect des standards La norme constitue le cahier des charges Hervé Schauer Consultants bis, rue de la Gare - F Levallois-Perret - France Téléphone : Télécopie : Courriel : <secretariat@hsc.fr> - Page 8 -

9 [Accueil] [Plan] [Besoins] [Libre] [Proprio] [LibreSecu] [SecuLibre] [Exemples] [Conclusion] [Ressources] Le logiciel libre et la sécurité Les logiciels libres peuvent être utilisés en toute confiance Mêmes précautions que pour un logiciel propriétaire Il faut : Valider la méthode d'obtention du logiciel Télécharger depuis le site de l'auteur ou un miroir officiel Vérifier que l'on télécharge bien la version pour son système Lire les documentations Tester et valider le fonctionnement en production du logiciel Noter où obtenir mise à jour et support Hervé Schauer Consultants bis, rue de la Gare - F Levallois-Perret - France Téléphone : Télécopie : Courriel : <secretariat@hsc.fr> - Page 9 -

10 [Accueil] [Plan] [Besoins] [Libre] [Proprio] [LibreSecu] [SecuLibre] [Exemples] [Conclusion] [Ressources] La sécurité grâce au logiciel libre Le logiciel libre permet notamment : L'analyse du code source La correction des failles L'indépendance du support Hervé Schauer Consultants bis, rue de la Gare - F Levallois-Perret - France Téléphone : Télécopie : Courriel : <secretariat@hsc.fr> - Page 10 -

11 [Accueil] [Plan] [Besoins] [Libre] [Proprio] [LibreSecu] [SecuLibre] [Exemples] [Conclusion] [Ressources] La sécurité grâce au logiciel libre L'analyse du code source Sécurité curiosité regarder comment c'est conçu regarder comment c'est programmé, comprendre pourquoi et donner son avis détecter les failles éventuelles de sécurité là où un logiciel non accessible en source ne le permet pas Sources relues par de nombreuses personnes motivées et diversifiées (peer review) éditeurs propriétaires ne peuvent atteindre ce niveau de relecture attention : ce n'est pas une garantie Exemples : cheval de troie dans tcp_wrapper, faille dans ssh v1 Hervé Schauer Consultants bis, rue de la Gare - F Levallois-Perret - France Téléphone : Télécopie : Courriel : <secretariat@hsc.fr> - Page 11 -

12 [Accueil] [Plan] [Besoins] [Libre] [Proprio] [LibreSecu] [SecuLibre] [Exemples] [Conclusion] [Ressources] La sécurité grâce au logiciel libre La correction des failles Possibilité d'agir soi-même autonomie Possibilité de faire agir un tiers immédiatement disponible indépendant des auteurs compétent permet de faire une correction rapidement en se reposant sur soi sans être dépendant d'un extérieur mal maîtrisé Existence d'une large communauté capable d'agir dans le code corrections dès la découverte du problème validation importante en peu de temps Exemple erreur pile IP Linux Hervé Schauer Consultants bis, rue de la Gare - F Levallois-Perret - France Téléphone : Télécopie : Courriel : <secretariat@hsc.fr> - Page 12 -

13 [Accueil] [Plan] [Besoins] [Libre] [Proprio] [LibreSecu] [SecuLibre] [Exemples] [Conclusion] [Ressources] La sécurité grâce au logiciel libre L'indépendance du support L'indépendance du support et de l'assistance garanti la perennité du support garanti le niveau d'expertise Logiciel propriétaire support fournisseur, arrêt du logiciel (rachat, changement stratégique, etc) arrêt du support utilisation du logiciel dans un contexte spécifique sécurité : incompétence réactivité inadaptée pour le prix Logiciel libre appel à un support qualifié en sécurité Hervé Schauer Consultants bis, rue de la Gare - F Levallois-Perret - France Téléphone : Télécopie : Courriel : <secretariat@hsc.fr> - Page 13 -

14 [Accueil] [Plan] [Besoins] [Libre] [Proprio] [LibreSecu] [SecuLibre] [Exemples] [Conclusion] [Ressources] Exemples de logiciels libres pour la sécurité (1/4) Filtrage IP NetFilter (Linux 2.4), Packet Filter (OpenBSD), IP-Filter (FreeBSD, NetBSD, Solaris, HP-UX, IRIX), IP-Chains (Linux 2.2), IP-Firewall (FreeBSD, Linux 2.0) Configuration du filtrage IP Firewall Builder, SmoothWall, PHP Firewall Generator, GFCC, Easy Firewall, Mason Network streams, Filterrules Filtrage IP en entrée sur un serveur tcp_wrapper, xinetd Relayage applicatif Squid, Solsoft NSM, Delegate, FWTK Hervé Schauer Consultants bis, rue de la Gare - F Levallois-Perret - France Téléphone : Télécopie : Courriel : <secretariat@hsc.fr> - Page 14 -

15 [Accueil] [Plan] [Besoins] [Libre] [Proprio] [LibreSecu] [SecuLibre] [Exemples] [Conclusion] [Ressources] Exemples de logiciels libres pour la sécurité (2/4) Relayage applicatif en entrée Apache, Subweb Tests de vulnérabilités Nessus, Nmap, Hping, Whisker Détection d'intrusions Snort, Prelude, Ntop, Shadow, Bro (téléchargement) Chiffrement au niveau réseau : Implémentations libres d'ipsec KAME, Linux FreeS/Wan, OpenBSD, Pipsecd Chiffrement au niveau applicatif PGP, Gnu Privacy Guard, SSH (FAQ), OpenSSH, LSH, SSF Hervé Schauer Consultants bis, rue de la Gare - F Levallois-Perret - France Téléphone : Télécopie : Courriel : <secretariat@hsc.fr> - Page 15 -

16 [Accueil] [Plan] [Besoins] [Libre] [Proprio] [LibreSecu] [SecuLibre] [Exemples] [Conclusion] [Ressources] Exemples de logiciels libres pour la sécurité (3/4) Authentification Opie (téléchargement), S/Key, Radius (RFC) (téléchargement), Tacacs (téléchargement), OpenLdap Serveurs WWW sécurisables et chiffrement SSL/TLS Apache, Apache-SSL, mod_ssl basé sur OpenSSL Infratructures de gestion de clés IDX-PKI, EU-PKI Hervé Schauer Consultants bis, rue de la Gare - F Levallois-Perret - France Téléphone : Télécopie : Courriel : <secretariat@hsc.fr> - Page 16 -

17 [Accueil] [Plan] [Besoins] [Libre] [Proprio] [LibreSecu] [SecuLibre] [Exemples] [Conclusion] [Ressources] Contrôle d'intégrité AIDE, Tripwire, SamHain, Lastwall, etc Journalisation Swatch, Logsurfer, XML-logs, New Syslog, Modular Syslog, Syslog-NG Serveurs de nom, Serveurs de messagerie Bind, Postfix, Sendmail Serveurs de fichiers Samba Systèmes d'exploitation pour serveurs, fiables et à hautedisponibilité Linux, Linux HA, FreeBSD, OpenBSD, etc etc. Exemples de logiciels libres pour la sécurité (4/4) Hervé Schauer Consultants bis, rue de la Gare - F Levallois-Perret - France Téléphone : Télécopie : Courriel : <secretariat@hsc.fr> - Page 17 -

18 [Accueil] [Plan] [Besoins] [Libre] [Proprio] [LibreSecu] [SecuLibre] [Exemples] [Conclusion] [Ressources] Conclusion En sécurité, il faut conseiller le logiciel libre comprendre ce qui se passe gagner son autonomie répondre aux besoins spécifiques obtenir la transparence Les logiciels libres apportent de la sécurité Le logiciel libre est crucial pour la sécurité Hervé Schauer Consultants bis, rue de la Gare - F Levallois-Perret - France Téléphone : Télécopie : Courriel : <secretariat@hsc.fr> - Page 18 -

19 [Accueil] [Plan] [Besoins] [Libre] [Proprio] [LibreSecu] [SecuLibre] [Exemples] [Conclusion] [Ressources] Ressources Associations AFUL : Association Française des utilisateurs de Linux et des Logiciels Libres OSSIR : Observatoire de la Sécurité des Systèmes d'information et des Réseaux Papiers, débats et conférences The Cathedral and the Bazaar AFUL : Qu'est-ce que le logiciel libre? Autrans 98 : Table ronde sur les logiciels libres ENST-Bretagne : Un avenir pour le logiciel libre Autrans 99 : Logiciels libres et logiciels propriétaires Autrans 99 : Les logiciels libres et la sécurité Les documents Halloween : Jusqu'où Micro$oft vous emmènera-t-il? Définition de l'open Source SANS Bastillle-Linux project, Securing Linux workshop What's Wrong With Content Protection, de John Gilmore de l'eff Support du cours HSC Sécurité Linux : Hervé Schauer Consultants bis, rue de la Gare - F Levallois-Perret - France Téléphone : Télécopie : Courriel : <secretariat@hsc.fr> - Page 19 -

20 Apache, Linux et la sécurité des serveurs web Linux Expo 1 Février 2002 Frédéric Lavécot <Frederic.Lavecot@hsc.fr> Hervé Schauer Consultants < Copyright Hervé Schauer Consultants Reproduction Interdite Plan Apache Sécurité d un serveur web Installation d apache Mécanismes de sécurité Copyright Hervé Schauer Consultants Reproduction Interdite

21 Apache < Quelques chiffres (source Netcraft) : Apache : 56.50% IIS : I-Planet : 3.59% Zeus : 2.18% Copyright Hervé Schauer Consultants Reproduction Interdite Apache - Aujourd hui Apache octobre version stable Maturité exceptionnelle, le logiciel libre le plus utilisé sur Internet Tous les hébergeurs, les fournisseurs d accès, les consommateurs intensifs de ressources web, utilisent Apache Apache novembre version de développement $ telnet httpd.apache.org 80 Trying Connected to httpd.apache.org. Escape character is ^]. HEAD / HTTP/1.0 HTTP/ Found Server: Apache/ (Unix) Location: Copyright Hervé Schauer Consultants Reproduction Interdite

22 Apache - Forces Simplicité de configuration par défaut fonctionnelle et sûre 1 fichier : httpd.conf syntaxe claire et stable documentation extrêmement poussée Modularité Développement dynamique 40 développeurs dans le "core team", très stricts quant-à la tournure du développement Projets variés Tomcat : implémentation de référence des technologies Java-Server Coccon : environnement de publication en ligne de documents XML Copyright Hervé Schauer Consultants Reproduction Interdite La sécurisation est un processus Elle commence au moment de définir l architecture Bien débuter : installation minimale du serveur Ne pas oublier : se prolonge jusqu à ce que le serveur soit déconnecté de tout réseau Privilégier une approche pratique aux guides d assurances (orange book, common criteria,...) qui n ont pas la même vocation : Conçus pour l armée en dehors des contraintes des entreprises Copyright Hervé Schauer Consultants Reproduction Interdite

23 Mises à jour de sécurité La sécurité se dégrade rapidement si les programmes ne sont pas maintenus à jour, notamment pour : les services réseau les programmes SUID et/ou SGID Il est souvent nécessaire de mettre à jour une machine qui vient d être install ée Copyright Hervé Schauer Consultants Reproduction Interdite Se tenir au courant RedHat : mailing liste : <redhat-announce-list-request@redhat.com> avec le mot "subscribe" dans le sujet lire les avis de sécurité (RSA : RedHat Security Advisories) Debian : envoyer un mail à l adresse <debian-security-announce-request@lists.debian.org> avec le mot "subscribe" dans le sujet Copyright Hervé Schauer Consultants Reproduction Interdite

24 Informations de sécurité généralistes Bugtraq : envoyer un message à LISTSERV@SECURITYFOCUS.COM avec dans le corps du message : SUBSCRIBE BUGTRAQ Nom, Prénom Securiteam : envoyer un mail avec un sujet vide à list-subscribe@securiteam.com Les messages contienent un tag spécial dans le sujet : [NEWS] - General security news. [NT] -Windows specific issues. [UNIX] -UNIX specific issues. [EXPL] - Advisories that contain exploit code. [TOOL] - Free tool reviews. [REVS] - Commercial product reviews. Veilles commerciales Copyright Hervé Schauer Consultants Reproduction Interdite Installation d Apache Installation minimale : désactivation des modules non nécessaires Choix entre fonctionnement statique (toutes les fonctions compilées dans l exécutable) ou modulaire Exemple de configuration modulaire (DSO) :./configure --enable-module=most --enable-shared=max [...] Exemple de configuration statique :./configure --enable-module=rewrite --enable-module=proxy [...] Ne jamais configurer en./configure --enable-module=most [...] sans préciser le mode DSO. Toutes les fonctions seraient compilées en un unique exécutable. Ré percussion sur la configuration Directive LoadModule à utiliser pour sélectionner les modules à charger au démarrage, si et seulement si ils sont vraiment nécessaires. Copyright Hervé Schauer Consultants Reproduction Interdite

25 Installation d Apache Identité du serveur web Nécessité ABSOLUE d utiliser un utilisateur et un groupe dédiés pour faire fonctionner le serveur web Par défaut, il s agit de nobody:nogroup, pas assez restrictif. Le serveur est lancé avec l UID 0 (root), afin de s attacher au port privilégi é 80. Les processus suivants (issus de fork) prennent l identité de l utilisateur dédié pour répondre aux requêtes HTTP et exécuter les scripts CGI le cas échéant Cet utilisateur et ce groupe ne doivent disposer que d un nombre réduit de permissions : écriture des journaux, lecture des pages web, exécution d éventuels scripts de CGI, compte verrouillé Dans la configuration d Apache, on utilise les directives User et Group Apache Copyright Hervé Schauer Consultants Reproduction Interdite Restrictions d accès Directives <Directory>, <Files>, <DirectoryMatch>, <FileMatch> ScriptAlias <Limit>, <LimitExcept> pour limiter les méthodes HTTP.htaccess Gestion des liens symboliques Virtual Host Copyright Hervé Schauer Consultants Reproduction Interdite

26 Démonstrations authentification Basic authentification Basic + LDAP Mod_auth_ldap + OpenLDAP Modssl Copyright Hervé Schauer Consultants Reproduction Interdite Le protocole HTTPS Encapsulation du protocole HTTP dans SSL/TPS HTTP dans un tunnel chiffré, authentifié, avec contrôle d intégrité sur les données Copyright Hervé Schauer Consultants Reproduction Interdite

27 HTTPS n est pas une sécurité contre : Les applications/scripts mal écrits les failles du serveur web Contrairement à ce que certains voudraient faire croire : From verisign@verisign.rsc01.com Thu Jan 17 19:45: Subject: Choisissez la confiance et la sécurité avec Certplus Votre site Internet est-il suffisamment sécurisé pour la vente en ligne? Pour offrir à vos clients 100% de sécurité et de confiance, découvrez dès maintenant le Certificat Serveur. Ce véritable passeport électronique, émis au sein du VeriSign Trust Network, vous permettra : - De crypter vos transactions commerciales en ligne et de garantir la confidentialité à vos clients - De sécurisez vos Intranets et d échanger vos informations sensibles en toute confiance [...] Copyright Hervé Schauer Consultants Reproduction Interdite Exemple d attaques sur HTTPS 1/2 Avec openssl < : $ openssl s_client -connect :443 CONNECTED( ) depth=0 /C=FR/ST=Paris/L=Paris/O=XXXXXX XXXXXXXXXX/OU=DSIN/DU04/OU=Terms of use at (c) 01/OU=Authenticated by Certplus SA/OU=Member, Veri [...] GET /COM_DIS_Main/1,1500,blah_0_0_hsc,01.html HTTP/1.0 Host: secure.xxxxxx.xxxxxxxxxx.xxx [...] proc ::Projet::Qols::Sql::PCT_QOLS_SEL_SGE { {codeerr ""} } { eval "SEARCH PROCEDURE PKG_QOLS.PCT_QOLS_SEL_SGE INTO result PARAMETERS { codeerr } VALUES { {codeerr} }" return $result } [...] Copyright Hervé Schauer Consultants Reproduction Interdite

28 Exemple d attaques sur HTTPS 2/2 Avec stunnel < : $ stunnel -c -d 80 -r :443 $ perl -e print "A"x5000," / HTTP/1.0\r\n" nc localhost 80 HTTP/ Request-URI Too Large Date: Mon, 21 Jan :26:52 GMT Server: Apache/ Connection: close Content-Type: text/html; charset=iso Copyright Hervé Schauer Consultants Reproduction Interdite Reverse proxy Un relais inverse n est utile que s il apporte : des fonctionnalités (authentification par mots de passe ou forte par certificats, chiffrement, filtrage applicatif). du filtrage pour protéger les cgi : filtrage d URL (chemin, fichier, extension, type de paramètres,...) filtrage des cookies... Copyright Hervé Schauer Consultants Reproduction Interdite

29 Filtrage d URL et de contenu Modules apaches mod_rewrite : ré-écriture d URL Principe d un cgi-wrapper Ne jamais faire confiance aux données qui viennent d Internet Vérifier toutes les données utilisateurs Copyright Hervé Schauer Consultants Reproduction Interdite mod_rewrite < < --enable-module-rewrite Ré-écriture d URL Très puissant mais peut s avérer complexe à mettre en oeuvre désactiver ProxyPass et ProxyPassReverse (sinon s exécutent avant Rewrite Rules) basé sur des expressions régulières 1 pour la correspondance 1 pour la réécriture puis prise de décision : P (proxy), F (forbidden),... Comme le filtrage IP : autoriser de qui est connu et par défaut interdire tout RewriteRule.* / [F] Copyright Hervé Schauer Consultants Reproduction Interdite

30 mod_rewrite : Exemples RewriteEngine On RewriteLog logs/rewrite.log RewriteLogLevel 9 RewriteRule \.htr($.*) / [F] dans logs/rewrite/log [23/Jan/2002:09:43: ] [avalon.hsc.fr/sid#80d3034][rid#8102c 3c/initial/redir#1] (2) init rewrite engine with requested uri /index.html.en [23/Jan/2002:09:43: ] [avalon.hsc.fr/sid#80d3034][rid#8102c 3c/initial/redir#1] (3) applying pattern \.htr($.*) to uri /index.html.en [23/Jan/2002:09:43: ] [avalon.hsc.fr/sid#80d3034][rid#8102c 3c/initial/redir#1] (1) pass through /index.html.en [23/Jan/2002:09:44: ] [avalon.hsc.fr/sid#80d3034][rid# /initial] (3) applying pattern \.htr($.*) to uri /blah.htr [23/Jan/2002:09:44: ] [avalon.hsc.fr/sid#80d3034][rid# /initial] (2) rewrite /blah.htr -> / [23/Jan/2002:09:44: ] [avalon.hsc.fr/sid#80d3034][rid# /initial] (2) forcing / to be forbidden Copyright Hervé Schauer Consultants Reproduction Interdite mod_rewrite : Exemples RewriteRule index\.html($.*) index\.html2 [L] [23/Jan/2002:11:41: ] [avalon.hsc.fr/sid#80d3034][rid#8105c94/initial/redir#1] (2) rewrite /index.html -> /index2.html [23/Jan/2002:11:41: ] [avalon.hsc.fr/sid#80d3034][rid#8105c94/initial/redir#1] (2) local path result: /index2.html [23/Jan/2002:11:41: ] [avalon.hsc.fr/sid#80d3034][rid#8105c94/initial/redir#1] (2) prefixed with document_root to /usr/local/apache/htdocs/index2.html [23/Jan/2002:11:41: ] [avalon.hsc.fr/sid#80d3034][rid#8105c94/initial/redir#1] (1) go-ahead with /usr/local/apache/htdocs/index2.html [OK] Copyright Hervé Schauer Consultants Reproduction Interdite

31 CGI wrapper < Protéger des cgi dont on a pas forcément les sources Filtrer les paramètres d un cgi appelé à la place du cgi original et vérifie la taille minimum d un paramètre la taille maximum d un paramètre le type de données grâce à une expression régulière Copyright Hervé Schauer Consultants Reproduction Interdite Les autres possibilités Filtrer la conformité d un cookie / du sessionid avec le mécanisme de génération scellement des champs hidden (expérimental dans subweb) Chiffrer la valeur des champs hidden pour qu ils ne soient pas modifiés chiffrement des URL jeton pour passer d un script à un autre Eviter de deviner les URLs par force-brute Copyright Hervé Schauer Consultants Reproduction Interdite

32 Sécurité des applications Un cgi n est sur que si le code source a été audité. Bon réflexe de tester vous mêmes vos propres cgi. De même que l on fait tourner nmap sur un serveur pour tester le filtrage il existe des outils pour vous aider à tester vos applications. subweb : < babelweb : < nikto, rfproxy, cgi-scan,... Copyright Hervé Schauer Consultants Reproduction Interdite Gestion des sessions RFC 2109: HTTP State Management Mechanism Doos and don ts of client authentication on the web Copyright Hervé Schauer Consultants Reproduction Interdite

33 Rappel Apache Installation d apache restrictions d accès Authentification et modules d authentification HTTPS le protocole attaques sur https Filtrage d URL et de contenu mod_rewrite cgi-wrapper Sécurité des applications Gestion des sessions Copyright Hervé Schauer Consultants Reproduction Interdite

34 Les caractéristiques de Linux en sécurité Denis Ducamp / Hervé Schauer Consultants Février 2002 Reproduction strictement interdite 1. Introduction Cette présentation va aborder deux aspects distincts : les principales fonctions de sécurité du noyau Linux 2.2 l'authentification avec PAM (Pluggable Authentication Modules) 1.1 Qu'est ce qu'un noyau? Le noyau est le coeur du système. Il peut être comparé à un "gros programme" qui serait chargé en mémoire à l'initialisation de la machine. Ses principales tâches sont de : gérer les systèmes d'entrées / sorties et les processus. distribuer aux processus les ressources en temps processeur et en mémoire. Les programmes accèdent aux fonctionnalités du noyau via les appels systèmes. 1.2 Les principales fonctions de sécurité de Linux 2.2 Les privilèges (capabilities) Les risques des modules La comptabilité Le chiffrement de systèmes de fichiers Divers : les patchs de sécurité, les distributions sécurisées et subterfugue. 2. Privilèges (capabilities) Qu'est ce qu'un privilège? Les privilèges linux Les privilèges des processus - Page 1 -

35 Gestion des processus Exemples de processus Les privilèges des fichiers exécutables Exemples de fichiers exécutables Références 2.1 Qu'est ce qu'un privilège? Sur un système Unix classique, le compte root (UID égal à 0) possède tous les droits. Il peut ainsi lire tous les fichiers et tuer tous les processus. Si un programme a besoin d'un privilège alors le processus devra avoir l'identité de root. Par exemple un programme de sauvegarde n'a besoin que de pouvoir lire tous les fichiers. En s'exécutant en tant que root, il obtient le contrôle total du système et peut donc tuer tous les processus. Les privilèges (capabilities) sont le partitionnement des privilèges du compte root (UID = 0) en droits unitaires. Il est ainsi possible d'allouer à des processus les seuls droits dont ils ont besoin. 2.2 Les privilèges linux Le système de privilèges utilisé est celui défini par le draft POSIX e "POSIX capabilities" qui est maintenant abandonné. Actuellement seuls les processus sont associés aux privilèges. Deux implémentations sont en cours de réalisation pour gérer les privilèges au niveau des fichiers exécutables. Chaque processus possède trois ensembles de privilèges : permitted(p) : les privilèges que le processus courant possède effective(e) : les privilèges que le processus courant peut exécuter inheritable(i) : les privilèges qui seront hérités par un processus fils 2.3 Les privilèges des processus L'implémentation du noyau 2.2 ne fait aucune référence à l'uid d'un processus pour savoir quels sont ses droits, seul l'ensemble de ses privilèges effectifs (E) est consulté. Sur un système Unix classique les processus appartenant à root possèdent tous les privilèges, les autres processus n'en possèdent aucun. Le privilège CAP_SETPCAP permet de changer les privilèges d'autres processus. Cette fonctionnalité n'existant pas sur un système classique, ce privilège n'est donné - Page 2 -

36 à aucun processus sous Linux 2.2. L'ensemble des privilèges est défini dans le fichier /usr/src/linux/include/linux/capability.h Afin d'avoir un système fonctionnel à base de privilèges il est nécessaire de modifier deux lignes dans les sources du noyau pour que les processus appartenant à root acquièrent ce privilège (voir FAQ). Il est possible depuis la version d'utiliser le fichier /proc/sys/kernel/cap-bound pour consulter l'ensemble des privilèges du système. Il est possible de supprimer des privilèges du système qui n'ont pas ou plus de raison d'être : CAP_NET_ADMIN, CAP_NET_RAW, CAP_SYS_MODULE, CAP_SYS_CHROOT L'utilitaire lcap disponible sur le site < permet de supprimer aisément des privilèges du système. 2.4 Gestion des processus Les deux utilitaires à connaître sont : execcap <caps> <command-path> command-args... permet d'exécuter un programme avec des privilèges réduits sucap <user> <group> <caps> <command-path> command-args... permet d'exécuter un programme avec des privilèges réduits en spécifiant l'utilisateur et le groupe d'exécution. Note : utiliser les utilitaires fournis avec une version 1.10 ou plus récente de la bibliothèque libcap (voir Références) 2.5 Exemples de processus Dans les exemples ci-dessous, le programme lancé est un serveur de tamagoshi qui ouvrira une socket sur un port privilégié (999). execcap cap_net_bind_service=eip /usr/local/bin/tama 999 Le processus est exécuté en tant que root mais ne possède que le droit d'ouvrir des ports privilégiés. Si le programme possède une vulnérabilité, alors il ne pourra être utilisé que pour accéder à des fichiers appartenant à root. sucap tama tama cap_net_bind_service=eip /usr/local/bin/tama 999 Le processus est exécuté en tant que tama mais possède le privilège d'ouvrir des ports privilégiés. Si le programme possède une vulnérabilité, alors il ne pourra être utilisé que pour accéder à des fichiers appartenant à tama. Il existe des conditions dans lesquelles le programme aura commencé à être exécuté par le système alors que ses privilèges ne lui auront pas encore été accordés. - Page 3 -

37 Ce problème sera réglé lorsque les privilèges seront gérés au niveau des fichiers. 2.6 Les privilèges des fichiers exécutables Deux implémentations sont en cours de développement : fcaps : VFS layer patchs for capabilities Permet d'accorder à tout fichier exécutable des privilèges. L'ensemble de ces privilèges sont enregistrés au niveau du système de fichiers. elfcap : Elf capabilities hack Permet de retirer des privilèges à tout fichier exécutable au format elf. L'ensemble de ces privilèges sont enregistrés au niveau de l'en-tête elf. 2.7 Exemples de fichiers exécutables Les exemples ci-dessous comparent les deux solutions pour le programme ping qui nécessite le privilège CAP_NET_RAW pour ouvrir une socket en mode raw. fcaps : ping n'a pas besoin d'être SUID root Le processus a pour identité celle de l'utilisateur qui l'a lancé. Les utilitaires nécessaires sont ceux fournis avec la libcap Le patch fcaps n'est pas sufisamment avancé pour être utilisé sur des systèmes en production. elfcap ping doit être SUID root Si l'administrateur utilise l'option adéquate lors de la définition des privilèges accordés alors le processus peut avoir pour identité celle de l'utilisateur qui l'a lancé; sinon il sera root. Les utilitaires nécessaires doivent être récupérés avec le patch. Le patch elfcap est suffisament avancé pour être utilisé sur des systèmes en production. Ce système est actuellement limité aux fichiers au format elf. 2.8 Références Linux Capabilities FAQ 0.2 <ftp://ftp.kernel.org/pub/linux/libs/security/linux-privs/kernel-2.2/capfaq-0.2.txt> ou <ftp://ftp.guardian.no/pub/free/linux/capabilities/capfaq.txt> libcap <ftp://ftp.kernel.org/pub/linux/libs/security/linux-privs/kernel-2.2/> et fcaps (+extended attributes, voir < : <ftp://ftp.kernel.org/pub/linux/libs/security/linux-privs/kernel-2.2-fcap/> pour Linux 2.2 ou <ftp://ftp.kernel.org/pub/linux/libs/security/linux-privs/kernel-2.4-fcap/> pour Linux 2.4. par Andrew Morgan <morgan@transmeta.com> : - Page 4 -

38 bibliothèque (libcap), utilitaires et patchs noyaux. Elf capabilities hack < par Pavel Machek : utilitaires et patchs noyaux (2.2.x seulement). 3. Les risques des modules Définitions Les risques Avantages pour l'administrateur Avantages pour les pirates 3.1 Définitions Un module est un morceau de code permettant d'ajouter des fonctionnalités au noyau : pilotes de périphériques matériels, protocoles réseaux, etc. Il peut être chargé dynamiquement sans avoir besoin de recompiler le noyau ou de redémarrer le système. Les modules sont exécutés dans l'espace mémoire du noyau : ils possèdent le contrôle total de la machine ils peuvent détourner ou créer un appel système 3.2 Les risques Les modules ne rentrent pas en jeu dans la sécurité d'un système Les modules possèdent le contrôle total de la machine et peuvent : permettre aux administrateurs d'améliorer la sécurité du système permettre aux pirates d'affaiblir la sécurité du système. 3.3 Les avantages pour l'administrateur Mettre à jour un pilote sans recompiler le noyau ni redémarrer le système. Détourner certains appels systèmes pour surveiller l'activité du système : rediriger ou journaliser les accès à certains fichiers journaliser les ajouts et les suppressions de modules; fonctions pouvant être soumises à l'authentification préalable de l'utilisateur. - Page 5 -

39 Voir < qui montre comment les modules peuvent aider l'administrateur système à sécuriser sa station. 3.4 Les avantages pour les pirates Prendre le contrôle total de la machine en détournant des appels systèmes : modifier la configuration apparente de la machine : mode promiscuous cacher des fichiers : rendre invisible les fichiers commençant par un mot clé filtrer le contenu d'un fichier : ôter des journaux, les lignes contenant l'adresse IP du pirate détourner les demandes de changement d'identité : un compte utilisateur donné peut devenir administrateur sortir d'un environnement restreint (chroot) 3.5 Références cacher un processus : rendre invisibles les processus commençant par un mot clé rediriger l'exécution de programmes : installer des backdoor sans modifier les programmes originaux "(nearly) Complete Linux Loadable Kernel Modules" < par pragmatic / THC : descriptions de nombreuses utilisations des modules sous Linux avec les sources pour Linux 2.0.3x Le même document existe pour : FreeBSD < par pragmatic / THC Solaris < par plasmoid / THC "lcamtuf::pliki" < ou "lcamtuf::soft" < par Michal Zalewski <lcamtuf@ids.pl> / <lcamtuf@coredump.cx> : de nombreux sources de modules ou de patchs noyaux pour Linux 2.0.3x ou 2.2.x - la majorité en polonais. Phrack Magazine < : "Weakening the Linux Kernel" (Issue 52 article 18) par plaguez <dube0866@eurobretagne.fr> : description et sources d'un cheval de Troie s'initialisant par un module. "btrom" (Issue 54 article 03) par riq : description et sources d'un programme de détection et de désactivation de chevaux de Troie fonctionnant sur le modèle précédent. adore et knark : 2 root-kits en modules - Page 6 -

40 Voir < et voir < pour un détecteur (par force brute). 4. La comptabilité Enregistrement automatique par le noyau des ressources utilisées par chaque processus lors de leurs terminaisons : date de création utilisateur propriétaire nom de la commande utilisation de la mémoire terminal contrôlé temps processeur utilisé nombre d'entrées/sorties réalisées 4.1 Les utilitaires Les utilitaires nécessaires à l'utilisation des données de comptabilités sont ceux édités par GNU < : acct tar.gz. Voir dans <ftp://ftp.gnu.org/gnu/acct/>. Cette archive renferme entre autres les utilitaires suivants : accton : active et désactive la comptabilité lastcomm : affiche des informations à propos des dernières commandes sa : résume les informations de comptabilité 4.2 Mise en route Pré-requis : le support noyau doit être activé. (sélectionner l'option "BSD Process Accounting" dans le menu "General setup") La comptabilité est activée par la commande accton /var/account/pacct Le journal doit exister avant l'appel à cette commande, il peut être préférable de restreindre les droits d'accès au journal. Le comportement de la comptabilité peut être modifié via l'entrée /proc/sys/kernel/acct qui contient 3 entrées : limite basse : espace libre nécessaire pour que la comptabilité reste active. limite haute : espace libre nécessaire pour que la comptabilité se réactive. - Page 7 -

41 fréquence : temps en secondes entre deux vérifications de l'espace libre. 4.3 Statistiques Les deux commandes suivantes permettent de synthétiser les données : sa : totalise pour chacune des commandes peut appliquer différents ordres de tris (entrées/sorties, temps processeurs et nombres d'appels). peut totaliser les temps processeurs pour chacun des utilisateurs. lastcomm : affiche les dernières commandes exécutées peut limiter l'affichage à un nom de commande, un nom d'utilisateur, un nom de terminal ou toute combinaison de plusieurs de ces trois précédents éléments. La commande dump-acct /var/account/pacct exporte au format texte le contenu du fichier de comptabilité. Il est ainsi possible de réaliser de façon simple ses propres statistiques avec des languages comme awk et perl. 5. Le chiffrement de systèmes de fichiers Fonctionnement Notes Algorithmes Exemple Références 5.1 Fonctionnement La commande losetup associe un loopback (périphérique virtuel) à une partition. Si un algorithme de chiffrement est sélectionné alors un mot de passe est demandé. L'opération de montage de la partition se fait en indiquant le loopback associé à la partition désirée. Toutes les données envoyées au loopback sont écrites chiffrées dans la partition. Lors d'une lecture dans le loopback, les données correspondantes sont lues dans la partition et déchiffrées en mémoire. 5.2 Notes à cause des lois sur l'exportation et l'utilisation de la cryptographie, les fonctionnalités de chiffrement de Linux ne peuvent être incluses dans la distribution standard. Des patchs officiels sont disponibles pour ajouter ces fonctions aux sources du - Page 8 -

42 noyau. Ces patchs sont disponibles sur le site < les commandes losetup, mount et umount doivent être patchées pour supporter ces fonctionnalités. Les patchs nécessaires sont fournis avec les patchs du noyau. un fichier peut être associé à un loopback. Cela permet : de créer de petites partitions chiffrées qui peuvent être montées seulement lorsqu'elles sont nécessaires. de sauvegarder de façon sécurisée une partition vers un fichier chiffré. 5.3 Algorithmes Deux algorithmes ont été implémentés pour chiffrer des partitions : CAST-128 défini dans le RFC 2144; voir < utilisé en mode ECB Twofish défini par Bruce Schneier, Doug Whiting, John Kelsey, Chris Hall et David Wagner; voir < utilisé en mode CBC Une option permet d'utiliser en mode CBC n'importe lequel des dix algorithmes présents dans la bibliothèque pour chiffrer une partition. AES, Blowfish, 3DES, DES, DFC, IDEA, MARS, RC5, RC6 et Serpent. Les algorithmes de hachage MD5 et SHA1 sont également disponibles. 5.4 Exemple Sauvegarde de fichiers dans un fichier chiffré : # dd if=/dev/urandom of=~/mon_fichier bs=1k count=100 # losetup -e twofish /dev/loop0 ~/mon_fichier Password: # mkfs -t ext2 /dev/loop0 # mount -t ext2 /dev/loop0 ~/mnt # cp -pr ~/prive ~/mnt # umount /dev/loop0 # losetup -d /dev/loop0 5.5 Références Les patchs officiels pour les noyaux 2.2.x et 2.4.x sont disponibles sur le site ftp suivant : <ftp://ftp.kernel.org/pub/linux/kernel/crypto/> et depuis le site web correspondant : < Des patchs existent pour les versions 2.0.3x dans <ftp://ftp.kerneli.org/pub/kerneli/netsource/loop/> (ne sont plus accessibles) loopback-berkeley-recent : DES et IDEA by Ian Goldberg <ian@cypherpunks.ca> - Page 9 -

43 loopback-device-aem : CAST et IDEA by Andrew E. Mileski <aem@netcom.ca> Transparent Cryptographic File System < : TCFS est un système de fichiers distribué fournissant un service similaire à NFS mais avec du chiffrement en 3DES, IDEA ou RC5. Ce système est développé au Dipartimento di Informatica ed Applicazioni of the Università di Salerno (Italy) et en cours de portage sur OpenBSD et NetBSD. 6. Divers Les fonctions présentées font partie du patch secure-linux < développé par Solar Designer <solar@openwall.com>. ces fonctions sont disponibles pour les versions et Une version de test devrait être prochainement disponible pour les versions 2.4.x. Les distributions Linux présentées sont soit en cours de développement, soit en cours d'étude. La distribution Owl est basée sur la revue proactive de code source subterfugue est une nouvelle fonctionnalité de restriction d'accès du noyau Patchs de sécurité partition /proc restreinte : Chaque utilisateur n'a accès qu'aux données concernant ses propres processus Un groupe d'administration peut être désigné pour avoir accès : à toutes les données concernant tous les processus aux événements générés durant la période d'initialisation du système (dmesg). à toutes les données concernant les connexions actives. < ou < par Daniel Podlejski <underley@zakopane.top.pl> liens et tubes nommés restreints dans /tmp : un processus n'a accès à un lien ou à un tube nommé dans /tmp seulement s'il lui appartient ou qu'il appartient à root. < (n'est plus disponible) par Sekure SDI < (Brazilian Info Security Team) création des descripteurs de fichiers 0, 1 et 2 pour les programmes SUID ces fichiers possèdent des significations spéciales pour les librairies de nombreux programmes y accèdent en utilisant leurs numéros usuellement affectés pile non exécutable : la pile est rendue non exécutable afin d'empêcher la majorité des exploitations par débordement de buffer de fonctionner le principal problème est la gestion des programmes en glibc2.x qui utilisent les sauts par trampoline : le noyau doit détecter et émuler les sauts par trampoline il est (théoriquement) possible de duper cette fonctionalité et d'exécuter un - Page 10 -

44 débordement de buffer 6.2 Distributions sécurisées bastille-linux < : basée sur une distribution RedHat, le but est de constituer une distribution utilisable dans les universités et les établissements éducatifs. Le projet consiste aujourd'hui en un script de durcissement de systèmes : Redhat 5.2 à 6.2 et 7.x Mandrake 7.0 & 7.1 et 8.x SlackWare 7.0 & 7.1 Solaris 2.6 & 7!!! La version est disponible depuis le 19 octobre 2000 : bugs fixes... undo, extensibilité à d'autres distributions, log only... La version est disponible depuis le 11 juin 2001 : support de Red Hat 7 et Mandrake 8, nouvelle interface graphique utilisateur, grande amélioration de l'intelligence... La prochaine version supportera RedHat 7.2 et HP-UX. Stack-Guard < : il s'agit d'un patch au compilateur gcc afin de générer du code auto-immune aux exploitations de débordements de tampons par exécution de code dans la pile. Cette méthode a montré à de maintes reprises son efficacité : les exploitations de faille de sécurité sont dans la quasi totalité de ce type. Une version de RedHat 5.2 entièrement recompilée est disponible. Il s'agit d'une approche complémentaire à : l'utilisation d'une pile non exécutable l'audit des codes sources. La version 2.O de stackguard est un port pour egcs et une version d'immunix OS 6.2 basé sur Red Hat 6.2 est disponible. Vulnérable si l'attaquant peut scanner le contenu de la pile : vulnérabilités des chaines de formats. Ex : wuftpd Une version "Immunix System 7" est disponible, intégrant d'autres outils de "tolérence aux vulnérabilités". Nexus Linux < : distribution s'adressant aux administrateurs dont la première préocupation est la sécurité, elle fournit par défaut OpenSSH et apache avec le support SSL. Cette distribution se trouve à l'état de développement : v0.5 Disponible sur le site <ftp://ftp.lemuria.org/pub/nexus/> Il s'agit en fait de l'ancienne distribution kha0s < nmrcos < : le but est de fournir un système stable et sécurisé. Basée sur une distribution SlackWare avec un noyau , il intègre plusieurs patchs de sécurité pour le noyau : "Solar Designer's patch", "Trusted path support", "Probe Detection Patch", etc. Un script durcit les droits d'accès sur de nombreux fichiers sensibles. Après avoir été très longtemps "En cours de portage sous Linux ", la version beta de nmrcos est maintenant annoncée pour octobre slinux : le but est de fournir une distribution sécurisée "à tous les niveaux". Plus complète que les autres distributions, elle devrait fournir toutes les fonctions comme la gestion des - Page 11 -

45 privilèges, le chiffrement de partitions, etc. A l'heure actuelle, le développement de cette distribution n'a toujours pas commencé. Il s'agit en fait de l'ancienne distribution securelinux. 6.3 La distribution sécurisée : Owl Owl < : système d'exploitation à la sécurité améliorée destiné comme plate-forme de serveur. Utilise la revue proactive de code source pour plusieurs types de vulnérabilités logicielles. Actuellement, seuls les morceaux de code qui : sont exécutés avec des privilèges supérieurs à ceux d'un simple utilisateur et/ou traitent typiquement des données obtenues au travers du réseau sont audités avant que le composant logiciel correspondant soit inclus. Ceci couvre les suites de codes pertinentes dans : beaucoup des bibliothèques système, tous les programmes SUID/SGID, tous les démons et services réseau. Utilise de la cryptographie "forte" dans ses composants coeur Inclut déjà quelques capacités d'applications de politique de sécurité vérification proactive des mots de passe avec "pam_passwdqc", expiration de mots de passe et de comptes contrôle d'accès basé sur les adresses réseau) et de vérification d'intégrité ("mtree"). 6.4 subterfugue subterfugue permet de limiter les accès d'un processus et de ses descendants. par Mike Coleman <mkc@subterfugue.org> téléchargement : Le noyau Linux supporte nativement subterfugue depuis pre1. il est possible : de restreindre les accès disques en spécifiant : les arborescences non accessibles les arborescences accessibles en lecture seulement les arborescences accessibles en lecture et écriture d'étendre les arguments à des noms de fichiers complets et d'y appliquer des expressions rationelles (regexp) de comptabiliser le nombre d'appels systèmes et de signaux d'interdire ou de limiter les accès réseaux d'interdire la fermeture des entrées / sorties standards et d'erreur d'interdire l'envoi de signaux à des processus "étrangers" de tracer les appels systèmes (en se limitant éventuellement à certains appels seulement) de restreindre les positionnements de droits d'accès (interdire les SUID, l'écriture - Page 12 -

46 pour tous...) 7. PAM (Pluggable Authentication Modules) Historiquement, l'authentification des utilisateurs sous Unix se basait sur la saisie d'un mot de passe et sa vérification à partir du fichier /etc/passwd. A chaque amélioration de ce schéma (/etc/shadow, mots de passe jetables...) tous les programmes (login, ftpd...) devaient être réécrits pour supporter ces nouvelles fonctionnalités. PAM se veut un mécanisme flexible d'authentification des utilisateurs. Les programmes supportant PAM doivent pouvoir se lier dynamiquement à des modules chargés d'effectuer l'authentification. L'ordre d'attachement des modules et leurs configurations sont à la charge de l'administrateur système qui gère cela de façon centralisée. 7.1 Configuration Chaque application PAM doit posséder un fichier de configuration dans le répertoire /etc/pam.d. Chacun de ces fichiers est composé de 4 colonnes : type de module : auth : authentification de l'utilisateur account : gestion des utilisateurs (ex : restrictions horaires) session : tâches à effectuer en début et fin de chaque session ex : montage de répertoires, contrôle des ressources password : mise à jour du jeton d'authentification de l'utilisateur contrôle de réussite required : la réussite d'au moins un des modules required est nécessaire requisite : la réussite de tous les modules requisite est nécessaire sufficient : la réussite d'un seul module sufficient est suffisant optional : la réussite d'au moins un des modules required est nécessaire si aucun autre n'a réussi chemin du module, en général dans /lib/security. arguments optionnels Le fichier /etc/pam.d/other fournit les configurations par défaut pour tout type de module non spécifié dans le fichier de configuration de l'application. 7.2 Quelques modules intéressants pam_cracklib : ce module utilise la bibliothèque cracklib pour vérifier la solidité d'un nouveau mot de passe. Il peut également vérifier que le nouveau mot de passe n'est pas construit à partir de l'ancien. pam_limits : ce module permet de limiter les ressources accessibles à un utilisateur et/ou à un groupe comme le nombre de processus simultanés et leurs temps CPU, le nombre de fichiers ouverts simultanés et leurs tailles, le nombre de connexions simultanées, etc. La configuration se fait via le fichier /etc/security/limits.conf - Page 13 -

47 pam_rootok : permet à root l'accès à un service sans avoir à rentrer de mot de passe. A n'utiliser qu'avec chfn ou chsh, surtout pas avec login. pam_time : permet de limiter les horaires d'accès. La configuration se fait via le fichier /etc/security/time.conf pam_wheel : ne permet l'accès au compte root qu'aux seuls membres du groupe wheel. A utiliser qu'avec su. pam_cap : ce module permet de forcer l'ensemble des privilèges accordés à un utilisateur. 7.3 Références <ftp://ftp.kernel.org/pub/linux/libs/pam/> : bibliothèques et programmes PAM pour Linux. <ftp://ftp.kernel.org/pub/linux/libs/pam/linux-pam-html/> : The Linux-PAM System Administrators' Guide <ftp://ftp.kernel.org/pub/linux/libs/pam/linux-pam-html/pam.html> par Andrew G. Morgan <morgan@transmeta.com> The Linux-PAM Application Developers' Guide <ftp://ftp.kernel.org/pub/linux/libs/pam/linux-pam-html/pam_appl.html> par Andrew G. Morgan <morgan@transmeta.com> The Linux-PAM Module Writers' Guide <ftp://ftp.kernel.org/pub/linux/libs/pam/linux-pam-html/pam_modules.html> par Andrew G. Morgan <morgan@transmeta.com> Unified Login With Pluggable Authentication Modules < : Open Software Foundation Request For Comments 86.0 par V. Samar and R. Schemers (SunSoft) Hervé Schauer Consultants bis, rue de la gare Levallois-Perret Téléphone : Télécopie : Courriel : <secretariat@hsc.fr> - Page 14 -

48 Les firewalls libres : netfilter, IP Filter et Packet Filter Linux Expo Paris 1er Février 2002 Jean-Baptiste Marchand Jean-Baptiste.Marchand@hsc.fr Hervé Schauer Consultants Firewalls libres : netfilter, IP Filter et Packet Filter p.1 Firewalls Firewalls Logiciel de contrôle d accès au niveau réseau Fonctionnalité principale : filtrage IP Fonctionnalité supplémentaire souvent présente : traduction d adresses et de ports Filtrage IP Idée : contrôler les paquets IP autorisés à atteindre un hôte Intérêt : sécuriser un hôte de façon globale (au niveau réseau) Traduction d addresses et de ports Idée : récrire les en-têtes des paquets Intérêt : faire face à la pénurie d adresses routables sur l Internet Firewalls libres : netfilter, IP Filter et Packet Filter p.2

49 netfilter Firewalls libres Filtre de paquets du noyau Linux 2.4 Successeur d IPchains (Linux 2.2) Conçu par Paul "Rusty" Russell Développé par un noyau dur de 5 personnes Contributions pour des améliorations ou corrections IP Filter Filtre de paquets fonctionnant sous Unix libres et propriétaires Intégré dans FreeBSD et NetBSD Conçu et développé par Darren Reed Packet Filter Filtre de paquets dans OpenBSD (à partir de la version 3.0) Conçu par Daniel Hartmeier Développé par l équipe d OpenBSD Firewalls libres : netfilter, IP Filter et Packet Filter p.3 Filtrage IP standard Critères Interface réseau : entrée ou sortie Adresses IP (source et destination) : hôte ou sous-réseau Champs de l en-tête IP Fragmentation TOS et TTL Options IP Protocoles de niveau 4 : TCP, UDP et ICMP Ports source et destination (TCP et UDP) Drapeaux (TCP) Types et codes (ICMP) Actions Laisser passer Bloquer (façon silencieuse) Rejeter (message ICMP ou segment TCP avec drapeau RST) Firewalls libres : netfilter, IP Filter et Packet Filter p.4

50 Filtrage à états Principe Filtrage dynamique, en conservant des états pour les communications en cours Seuls des paquets correspondants à un état pré-existant sont acceptés Intérêt Simplifie l écriture des règles de filtrage Améliore la sécurité, en n autorisant que le trafic effectivement licite Protocoles TCP Segments appartenant à une connexion TCP en cours UDP Datagrammes en réponse à un datagramme UDP émis Messages ICMP d erreur ICMP Messages ICMP en réponse à un message ICMP émis Firewalls libres : netfilter, IP Filter et Packet Filter p.5 Filtrage à états : mise en oeuvre Mise en oeuvre Création d un état lors de la traversée du premier paquet Mémorisation de paramètres identifiant de façon unique une communication Validation des paquets par comparaison des états courants Expiration des états après un temps paramétrable Paramètres conservés TCP Adresses source et destination Ports source et destination Type, code, identifiant et numéro de séquence (ICMP) S assurer que des segments TCP font partie d une connexion en cours est complexe Real Stateful TCP Packet Filtering in Ipfilter Firewalls libres : netfilter, IP Filter et Packet Filter p.6

51 Traduction d adresses et de ports Traduction d adresses Uni-directionnelle Traduction en sortie d adresses (typiquement) privées en adresse(s) publique(s) Possibilité de changer le port source Bi-directionnelle Traduction d une adresse (typiquement) publique en une adresse (typiquement) privée et réciproquement Redirection de ports Rediriction d un port en entrée vers un autre, en modifiant l adresse de destination ou non Mise en oeuvre Fonctionnalités présentes dans netfilter, IP Filter et Packet Filter Ne sont pas détaillées ici Firewalls libres : netfilter, IP Filter et Packet Filter p.7 netfilter : chaînes Règles de filtrage placées dans des chaînes Chaîne : sous-programme Règles de filtrage : instructions Une des 3 chaînes standards est obligatoirement traversée : INPUT : paquets à destination de la machine locale OUTPUT : paquets émis par la machine locale FORWARD : paquets transitant par la machine locale Incoming / \ Outgoing -->[Routing ]---> FORWARD > [Decision] \ / ˆ v / \ / \ OUTPUT INPUT \ / \ / ˆ ----> Local Process ---- (c) 2002 Rusty Russell Firewalls libres : netfilter, IP Filter et Packet Filter p.8

52 netfilter : règles de filtrage Règles de filtrage Selection du trafic Cible à atteindre Cibles Classiques ACCEPT : paquet accepté DROP : paquet rejeté de façon silencieuse REJECT : paquet rejeté en informant l émetteur RETURN fin du parcours d une chaîne utilisateur cible par défaut dans les chaînes INPUT, OUTPUT ou FORWARD Journalisation LOG : paquet journalisé Extension du filtrage QUEUE redirection du paquet vers une application en mode utilisateur la décision de filtrage est prise par l application Firewalls libres : netfilter, IP Filter et Packet Filter p.9 netfilter : critères de filtrage Critères de filtrage classiques IP, TCP, UDP, ICMP Spécification des interfaces réseau Chaîne INPUT : interface d entrée Chaîne OUTPUT : interface de sortie Chaîne FORWARD : interfaces d entrée et de sortie Critères de filtrages moins classiques Filtrage par adresses MAC Filtrage sur l origine d un paquet local uid, gid, pid, sid du processus émetteur Firewalls libres : netfilter, IP Filter et Packet Filter p.10

53 netfilter : filtrage à états Protocoles TCP, UDP et ICMP Options permettant de comparer le trafic aux états NEW : création d un nouvel état ESTABLISHED : paquet appartenant à une communication en cours RELATED : paquet lié à une communication en cours Message ICMP d erreur Trafic lié au fonctionnement d un protocole applicatif INVALID : paquet non-identifié parmi les communications en cours Stratégie Créer un état au début de communication avec NEW Accepter les paquets liés aux communications en cours ESTABLISHED RELATED Firewalls libres : netfilter, IP Filter et Packet Filter p.11 netfilter : écriture de règles Règles Options du programme iptables Evaluation Parcourues depuis le début de la chaîne Arrêt du parcours en cas de correspondance d une règle Politique par défaut en fin des chaînes standards Retour à la chaîne parente en fin des chaînes utilisateurs Chaînes utilisateurs Possibilité de créer de nouvelles chaînes Améliore l efficacité du filtrage Regroupe des règles liées à un même type de trafic Chaînes Placer une politique par défaut pour les chaînes standards Ajouter les règles en fin de chaîne Firewalls libres : netfilter, IP Filter et Packet Filter p.12

54 netfilter : exemple IFACE=eth0 MYLAN= MYWKS= MYDNS= MYADDR= # vide les chaînes standards iptables --flush # chaînes standards bloquent par défaut iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -P FORWARD DROP # Filtrage à états iptables -A OUTPUT -i $IFACE -m state --state ESTABLISHED, RELATED -j ACCEPT iptables -A INPUT -i $IFACE -m state --state ESTABLISHED, RELATED -j ACCEPT # Administration par SSH iptables -A INPUT -i $IFACE -p tcp -s $MYWKS --sport 1024: d $MYADDR --dport 22 \ -m state --state NEW -j ACCEPT # Résolution DNS iptables -A OUTPUT -i $IFACE -p udp -s $MYADDR --sport 1024: d $MYDNS --dport 53 \ -m state --state NEW -j ACCEPT # Surveillance avec ping(1) iptables -A OUTPUT -i $IFACE -p icmp -s $MYADDR --icmp-type echo-request -d $MYLAN \ -m state --state NEW -j ACCEPT Firewalls libres : netfilter, IP Filter et Packet Filter p.13 IP Filter : généralités Fonctionnement Ordre 1. Filtrage en entrée 2. Traitement TCP/IP du noyau 3. Filtrage en sortie Schéma Règles avalon/ipfil-flow.html Spécifiées dans un fichier de configuration Syntaxe aisément compréhensible Possibilité de créer des groupes de règles Regroupement de règles portant sur un même type de trafic Mot clés head et group Deux jeux de règles possibles Actif Inactif Firewalls libres : netfilter, IP Filter et Packet Filter p.14

55 IP Filter : règles de filtrage Évaluation des règles Lues dans l ordre du fichier Celle qui s applique est la dernière Mot clé quick permet d arrêter le parcours des règles Filtrage à états keep frags autorise les fragments d un paquet en cours de réassemblage keep state autorise les paquets appartenant à une communication en cours Règles ne sont pas évaluées si le filtrage à états valide un datagramme Journalisation Option log au niveau d une règle Programme ipmon(8), journalisation via syslogd(8) Firewalls libres : netfilter, IP Filter et Packet Filter p.15 IP Filter : exemple ipf.conf # Administration par SSH pass in on xl0 proto tcp from port > 1023 to port = 22 \ flags S/SA keep state # Résolution DNS pass out on xl0 proto udp from port > 1023 to port = 53 \ keep state # Administraton avec ping(1) pass out on xl0 proto icmp from icmp-type echo to /24 \ keep state block in on xl0 all block out on xl0 all Chargement des règles ipf -Fa -f /etc/ipf.conf Statistiques ipfstat Firewalls libres : netfilter, IP Filter et Packet Filter p.16

56 Packet Filter : généralités Historique Nouveau filtre de paquets pour OpenBSD 3.0 Mêmes fonctionnalités qu IP Filter Maintenu par les développeurs de l équipe d OpenBSD Fonctionnalités nouvelles Normalisation des paquets Protège les piles TCP/IP fragiles contre des paquets anormaux Vérifie et supprime certaines anomalies dans les en-têtes Réassemble les fragments Action scrub Renforcement des numéros de séquences initiaux (ISN) TCP Pour des systèmes dont les ISNs sont prévisibles car trop peu aléatoires Option modulate state Ponts filtrants Ponts Ethernet en standard sous OpenBSD : bridge(4) Filtrage sur l une des interfaces avec Packet Filter Firewalls libres : netfilter, IP Filter et Packet Filter p.17 Packet Filter : règles de filtrage Règles Syntaxe très proche de celle d IP Filter Sucre syntaxique pour écrire des règles de façon plus synthétique Ensembles (sets) regroupant des listes d attributs Définition et expansion de variables Même mode d évaluation qu IP Filter Journalisation Option log au niveau d une règle Paquets journalisés sur l interface pflog0 Journalisation au format tcpdump(8) avec pflogd(8) Différences avec IP Filter Ordre des règles optimisée à la volée Options head et group inutiles et non-supportées Gestion des fragments option keep frags remplacé par la directive scrub Firewalls libres : netfilter, IP Filter et Packet Filter p.18

57 Packet Filter : exemple # Extrait de la section 6 de la FAQ d OpenBSD # # # Define useful variables ExtIF="fxp0" # External Interface IntNet=" /24" # Our internal network NoRouteIPs="{ /8, /16, /12, /8 }" Services="{ www, https }" # Clean up fragmented and abnormal packets scrub in all # don t allow anyone to spoof non-routeable addresses block in quick on $ExtIF from $NoRouteIPs to any block out quick on $ExtIF from any to $NoRouteIPs # only allow our machines to connect via ssh pass in quick on $ExtIF inet proto tcp from $IntNet to any port = 22 # allow others to use http and https pass in quick on $ExtIF inet proto tcp from any to any port $Services flags S/SA # finally lock the rest down with a default deny block in quick on $ExtIF from any to any # and let out-going traffic out and maintain state on established connections pass out on $ExtIF from any to any keep state Firewalls libres : netfilter, IP Filter et Packet Filter p.19 netfilter/iptables Références : netfilter HOWTO Networking Concepts HOWTO Packet Filtering HOWTO NAT HOWTO Les caractéristiques de netfilter sous Linux Firewalls libres : netfilter, IP Filter et Packet Filter p.20

58 IP Filter Références : IP Filter Pages de manuel FreeBSD et NetBSD ipf(5), ipf(8) IP Filter HOWTO Traduction française par IDEALX : Fonctionnalités avancées (des règles) d ipfilter Présentation de IP Filter à la BSDCON Firewalls libres : netfilter, IP Filter et Packet Filter p.21 Références : Packet Filter OpenBSD Packet Filter Pages de manuel OpenBSD pf.conf(5), pfctl(8) Section 6 de la FAQ OpenBSD The OpenBSD Packet Filter HOWTO Traduction française par IDEALX : Firewalls libres : netfilter, IP Filter et Packet Filter p.22

59 Gestion des certificats Linux-Expo Paris 1er Février 2002 Franck Davy Hervé Schauer Consultants < Plan Introduction Format des certificats X.509 Gestion du cycle de vie Exemples d utilisation Exemple de PKI Opensource : IDX-PKI, par IDEAL X

60 Introduction Format des certificats X.509

61 Format des certificats X.509 (1/2) Historique Norme ITU-T X.509 (recommandations X.500) Version 1 (1988) : définition des champs de base Version 2 (1993) : 2 champs optionnels Version 3 (1996) : extensions (notion de criticité) Description ASN.1 (Abstract Syntax Notation 1) Syntaxe abstraite normalisée (X.208) Syntaxe de transfert unique Règles de codage distinctives DER PEM : DER en base64 Exemple : Certificate ::= SEQUENCE { TBSCertificate ::= SEQUENCE { tbscertificate TBSCertificate, version [0] EXPLICIT Version DEFAULT v1, signaturealgorithm AlgorithmIdentifier, serialnumber CertificateSerialNumber, signaturevalue BIT STRING } signature AlgorithmIdentifier, issuer Name, validity Validity, subject Name, subjectpublickeyinfo SubjectPublicKeyInfo, issueruniqueid [1] IMPLICIT UniqueIdentifier OPTIONAL, -- If present, version shall be v2 or v3 subjectuniqueid [2] IMPLICIT UniqueIdentifier OPTIONAL, -- If present, version shall be v2 or v3 extensions [3] EXPLICIT Extensions OPTIONAL Format des certificats X.509 (2/2) Certificate: Data: Version: 3 (0x2) Serial Number: 0 (0x0) Signature Algorithm: sha1withrsaencryption Issuer: C=FR, O=FOO, CN=FOO CA Validity Not Before: Jun 30 0:00: GMT Not After : Jun 30 23:59: GMT Subject: C=FR, O=FOO, CN=FOO CA Subject Public Key Info: Public Key Algorithm: rsaencryption RSA Public Key: (2048 bit) Modulus (2048 bit): af:07:f2:91:b2:da:8d:ca:8c:5f:7c:28:3c:7c:89: [...] 6c:06 Exponent: (0x10001) X509v3 extensions: X509v3 Basic Constraints: CA:TRUE, pathlen:4 X509v3 Key Usage: Certificate Sign, CRL Sign X509v3 CRL Distribution Points: URI: Signature Algorithm: sha1withrsaencryption 04:6e:50:ee:7b:4a:01:02:63:bf:42:36:d6:be:0c:fe:22:0c: [...] 94:d6:aa

62 Extensions X.509 (v3) (1/2) Notion de criticité d une extension Contraintes d utilisation Clé publique de chiffrement/signature/échange de clé Exigences de sécurité Mécanisme de recouvrement Service de non répudiation Contraintes sur l itinéraire de certification Longueur maximale de la chaîne de certification Informations diverses Points de publication Listes de révocation Serveur OCSP Politique de certification Extensions propriétaires Extensions X.509 (v3) (2/2) Itinéraire de certification X509v3 Basic Constraints: CA:TRUE, pathlen:10 Recommandations d usage de la clé publique X509v3 Key Usage: Certificate Sign, CRL Sign X509v3 Extended Key Usage: TLS Web Client Authentication, Protection Points de publication Listes de révocation X509v3 CRL Distribution Points: URI: DNS:ldap.crl.com DirName:/C=FR/O=/OU=AC/CN=CRL Serveur OCSP Authority Information Access: OCSP - URI: Politique de certification X509v3 Certificate Policies: Policy: CPS: User Notice: Explicit Text: FOOBAR s CPS

63 Profil PKIX Description Groupe de travail IETF (1995) Objectif : développer pour l internet une PKI fondée sur les certificats X.509 Composantes Instanciation des certificats X.509v3 et des listes de révocations X.509 pour une infrastructure adaptée à l Internet [RFC2459] Protocoles d exploitation [RFC2559, RFC2585] Distributions des certificats et listes de révocation. Protocoles de gestion [RFC2510] Dialogues entre le différentes entités de la PKI. Règles d usage et considérations pratiques [RFC2527] Exigences de sécurité En matière d identification des sujets, de révocation des certificats Infrastructure générale C e < > End entity r Operational t transactions ^ and management Management / transactions transactions PKI users C v R L ^ ^ PKI management v entities R e < RA <---+ p Publish certificate o s I v v t o < CA r Publish certificate y Publish CRL ^ Management transactions v CA Gestion du cycle de vie RFC 2459 : 3 Overview of Approach

64 Cycle de vie : Création / Révocation (1/5) OpenSSL Version stable : 0.9.6c (21/12/2001) Snapshot : ftp://ftp.openssl.org/snapshot/ openssl(1) Génération du bi-clé genrsa(1), gendsa(1), gendh(1) $ openssl genrsa -out cert.key -des Bi-clé RSA de 2048 bits, chiffré 3DES-CBC Format PEM [RFC1421] -----BEGIN RSA PRIVATE KEY----- Proc-Type: 4,ENCRYPTED DEK-Info: DES-EDE3-CBC,B C4F58986 HEtRjSj9kJcQvvYg9ZtXYLc658zyrtFNTE+1/KHJ+TWJVNjfoW6gKmen96nlEZVs [...] CWD2hdXv+BoLN2JA3XQXJ0vZro+WJlP2MprbweVmVMFetrIWWAzn8Qf2z0FnPxyb -----END RSA PRIVATE KEY----- Cycle de vie : Création / Révocation (2/5) Génération de la demande de certificat req(1) $ openssl req -new (-x509) -key cert.key -out req.csr -config./openssl.cnf You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter., the field will be left blank Pays [FR]: Localite (e.g. Ville) [Levallois-Perret]: Organisation [Herve Schauer Consultants]: Nom ou URL []:Franck Davy Adresse []:Franck.Davy@hsc.fr Challenge []:secret Bi-clé généré localement Support : disque dur, carte à puce, carte PCMCIA (openssl-engine) Transmission de la demande à l autorité d enregistrement Validation : vérification "hors-bande" du challenge Signature par l autorité de certification Publication dans un annuaire

65 Cycle de vie : Création / Révocation (3/5) Extrait du fichier openssl.cnf : [ v3_req ] basicconstraints = CA:FALSE keyusage = nonrepudiation, digitalsignature, keyencipherment Demande de certificat : Certificate Request: Data: Version: 0 (0x0) Subject: C=FR, ST=Ile-de-France, L=Levallois-Perret, O=Herve Schauer Consultants, CN=Franck Davy/ =Franck.Davy@hsc.fr/challengePassword=secret Subject Public Key Info: Public Key Algorithm: rsaencryption RSA Public Key: (1024 bit) Modulus (1024 bit): 00:c4:b9:c2:8f:93:f8:1e:5c:ed:e3:a9:c6:de:ea: [...] a5:ba:c1:b2:cb:43:34:aa:47 Exponent: (0x10001) Attributes: Requested Extensions: X509v3 Basic Constraints: CA:FALSE X509v3 Key Usage: Digital Signature, Non Repudiation, Key Encipherment Signature Algorithm: md5withrsaencryption 11:89:4d:74:59:3a:c4:07:c2:50:e4:e9:80:54:a7:c3:d3:6c: [...] 95:64 Cycle de vie : Création / Révocation (4/5) Signature de la demande de certificat $ openssl ca -config./openssl.cnf -extensions CLIENT_RSA_SSL -infiles req.crs -out client.pem Using configuration from openssl.cnf Enter PEM pass phrase: Check that the request matches the signature Signature ok The Subjects Distinguished Name is as follows countryname :PRINTABLE: FR stateorprovincename :PRINTABLE: Ile-de-France organizationname :PRINTABLE: Herve Schauer Consultants commonname :PRINTABLE: Franck Davy address :IA5STRING: Franck.Davy@hsc.fr challengepassword :PRINTABLE: secret Certificate is to be certified until Jun 30 23:59: GMT (365 days) Sign the certificate? [y/n]:y 1 out of 1 certificate requests certified, commit? [y/n]y Write out database with 1 new entries Data Base Updated

66 Cycle de vie : Création / Révocation (5/5) Révocation d un certificat $ openssl ca -config./openssl.cnf -revoke client.pem Enter PEM pass phrase: Revoking Certificate 04. Data Base Updated $ openssl ca -config./openssl.cnf -gencrl -crldays 30 Enter PEM pass phrase: -----BEGIN X509 CRL----- MIIBaDCB0jANBgkqhkiG9w0BAQQFADB5MQswCQYDVQQGEwJGUjEWMBQGA1UECBMN [...] 3w2288WnwoBuJWkdoQpvFM3FtjI9iqczebqL6g== -----END X509 CRL----- Certificate Revocation List (CRL): Version 1 (0x0) Signature Algorithm: md5withrsaencryption Issuer: /C=FR/L=Levallois-Perret/O=Herve Schauer Consultants/CN=CA SSL Last Update: Jul 30 23:59: GMT Next Update: Aug 30 23:59: GMT Revoked Certificates: Serial Number: 04 Revocation Date: Jun 28 12:49: GMT Signature Algorithm: md5withrsaencryption 2d:5f:0e:74:5e:1c:98:a5:f7:da:9c:20:06:ad:cd:72:a2:72: [...] 8b:ea Cycle de vie : Publication (1/3) Publication des : Certificats des autorités de certification/révocation Certificats des Entités terminales Listes de Révocation Publication via LDAP : Schema core : objectclass certificationauthority ( ) Attributs : authorityrevocationlist, cacertificate, certificaterevocationlist Schema inetorgperson : objectclass inetorgperson ( ) Attribut : usercertificate dn: cn=cdp, o=ca, c=fr certificaterevocationlist;binary:: MIIBJjCBkgIBATANBgkqhkiG9w0BAQUFADBBMQswCQY [...] tsyl7hmtqh/0z2hhjv63yek1hljuj4s//53cwnzfym+607g== certificaterevocationlist;base64:: TUlJQkpqQ0JrZ0lCQVRBTkJna3Foa2lHOXcwQkFRVUZ [...] BREJCTVFzd0NRWURWUVFHRXdKR1VqRVRNQkVHQTFVRQpDaE1LUTJWeWRHbE9iMjFwY3pFZE1Cc0dB objectclass: top objectclass: crldistributionpoint cn: CDP LDAP-Implementation-HOWTO Passerelle HTTP/LDAP :

67 Cycle de vie : Publication (2/3) Publication via HTTP : Types MIME [RFC2585].cer application/pkix-cert.crl application/pkix-crl Autres.cer application/x-x509-ca-cert.crl application/pkcs-crl.crt application/pkix-cert.crt application/x-x509-ca-cert.crt application/x-x509-user-cert Certificats et listes de révocation au format PEM Format et extensions Extension crldistributionpoints X509v3 CRL Distribution Points: URI: Fichier openssl.cnf (extensions req ou ca) crldistributionpoints [crl_dp] URI.1 = URI.2 = Cycle de vie : Publication (3/3) Vérification via OCSP Validation en ligne via interrogation d un serveur OCSP Requête HTTP avec méthode POST Format et extensions Extension authorityinfoaccess ( ) Authority Information Access: OCSP - URI: Fichier openssl.cnf (extensions req ou ca) authorityinfoaccess = OCSP;URI:

68 Exemples d utilisation et Démonstrations Exemple de PKI Opensource : IDX-PKI, par IDEAL X <