Le logiciel libre en sécurité. L'intérêt du logiciel libre en sécurité

Dimension: px
Commencer à balayer dès la page:

Download "Le logiciel libre en sécurité. L'intérêt du logiciel libre en sécurité"

Transcription

1 [Accueil] [Plan] [Besoins] [Libre] [Proprio] [LibreSecu] [SecuLibre] [Exemples] [Conclusion] [Ressources] Le logiciel libre en sécurité L'intérêt du logiciel libre en sécurité Linux-Expo Paris 1 Février 2002 Hervé Schauer Hervé Schauer Consultants Reproduction strictement interdite Hervé Schauer Consultants bis, rue de la Gare - F Levallois-Perret - France Téléphone : Télécopie : Courriel : - Page 1 -

2 [Accueil] [Plan] [Besoins] [Libre] [Proprio] [LibreSecu] [SecuLibre] [Exemples] [Conclusion] [Ressources] Le logiciel libre en sécurité Plan de la présentation Hervé Schauer Consultants Besoins des utilisateurs Le logiciel libre Le logiciel propriétaire en sécurité Le logiciel libre et la sécurité La sécurité grâce au logiciel libre Exemples de logiciels libres pour la sécurité Conclusion Références & Ressources Hervé Schauer Consultants bis, rue de la Gare - F Levallois-Perret - France Téléphone : Télécopie : Courriel : - Page 2 -

3 [Accueil] [Plan] [Besoins] [Libre] [Proprio] [LibreSecu] [SecuLibre] [Exemples] [Conclusion] [Ressources] Hervé Schauer Consultants Cabinet de consultants en sécurité Unix, WNT, TCP/IP et Internet depuis consultants Expérience de la sécurité Unix depuis 1987 Expérience de la sécurité Internet depuis 1991 Expérience de la sécurité WNT depuis 1997 Conception et architecture sécurité Internet/Intranet détection d'intrusion commerce électronique Mise en place de systèmes de sécurité Audits Tests d'intrusion Veille technologique en vulnérabilités Formations Plus de 30 produits de sécurité maitrisés 200 références dans tous les secteurs d'activités et sur tous les continents Hervé Schauer Consultants bis, rue de la Gare - F Levallois-Perret - France Téléphone : Télécopie : Courriel : - Page 3 -

4 [Accueil] [Plan] [Besoins] [Libre] [Proprio] [LibreSecu] [SecuLibre] [Exemples] [Conclusion] [Ressources] HSC et le logiciel libre Contribution à Sendmail (01/1992) Rediffusion de la conférence des BBS LINUX.FR en newsgroup resif.info.linux (01/1993) Création de la hiérarchie de news fr. et de fr.comp.os.linux (04/1993) Dossier Unix sur PC de Tribunix (07/1993) Installation en clientèle du premier 386BSD (1994) Installation en clientèle du premier Linux (01/1995) Présentations et formations en français Formation Sendmail (1992) Formation Bind (1992) Présentations de PGP (1994), ssh, SSL, Apache avec certificats Sensibilisation à l'intérêt du logiciel libre en sécurité ( ) Tutoriel sécurité Linux dans le cadre de Linux-Expo (1999) Formation Postfix (1999), (support de cours en ligne) Formation Sécurité Linux (1999), (support de cours en ligne) Publication de logiciels libres : Babelweb, Filterrules, Nstreams, XML-logs, etc Hervé Schauer Consultants bis, rue de la Gare - F Levallois-Perret - France Téléphone : Télécopie : Courriel : - Page 4 -

5 [Accueil] [Plan] [Besoins] [Libre] [Proprio] [LibreSecu] [SecuLibre] [Exemples] [Conclusion] [Ressources] Besoins des utilisateurs Solution qui répond à ses besoins de sécurité Solution qui répond à ses besoins de services Solution qui répond aux moyens : humains et d'exploitation financiers Etape Etape répondre : Définissez vos besoins et vos moyens : Choisissez les architectures et les outils pour y Hervé Schauer Consultants bis, rue de la Gare - F Levallois-Perret - France Téléphone : Télécopie : Courriel : - Page 5 -

6 [Accueil] [Plan] [Besoins] [Libre] [Proprio] [LibreSecu] [SecuLibre] [Exemples] [Conclusion] [Ressources] Le logiciel libre Logiciel libre de droit protégé par le droit d'auteur l'auteur autorise la copie Logiciel dont le code source est accessible Logiciel dont le code source est modifiable GNU (Richard Stallman, 1984) Open-source (Eric Raymond, 1998) Linux est un logiciel libre Hervé Schauer Consultants bis, rue de la Gare - F Levallois-Perret - France Téléphone : Télécopie : Courriel : - Page 6 -

7 [Accueil] [Plan] [Besoins] [Libre] [Proprio] [LibreSecu] [SecuLibre] [Exemples] [Conclusion] [Ressources] Le logiciel propriétaire en sécurité Impossibilité d'obtenir une adaptation à un contexte spécifique Impossibilité d'obtenir une explication sur le fonctionnement du produit Réponse habituelle : "secret industriel" Exemple de question qui n'a jamais reçu de réelle réponse chez un fournisseur : "que vérifie votre filtrage de session (= inspection avec état)?" Grosses surprises lorsque l'on fait l'effort de faire de l'ingéniérie inverse et des tests intensifs Et les doutes subsistent : Difficulté d'obtention d'un support à la hauteur de l'importance du sujet Mauvais respect des standards Exemple : piles IPsec Hervé Schauer Consultants bis, rue de la Gare - F Levallois-Perret - France Téléphone : Télécopie : Courriel : - Page 7 -

8 [Accueil] [Plan] [Besoins] [Libre] [Proprio] [LibreSecu] [SecuLibre] [Exemples] [Conclusion] [Ressources] Le logiciel libre et la sécurité Les caractéristiques du logiciel libre sont un atout en sécurité Code source supérieur au logiciel propriétaire taille du code modularité du code lisibilité du code qualité du code Logiciel moins complexe que le logiciel propriétaire Logiciel souvents supérieur et plus industriel Logiciel toujours documenté Logiciel réalisé sans pression pas de contrainte de temps pas de contraintes financières Bon respect des standards La norme constitue le cahier des charges Hervé Schauer Consultants bis, rue de la Gare - F Levallois-Perret - France Téléphone : Télécopie : Courriel : - Page 8 -

9 [Accueil] [Plan] [Besoins] [Libre] [Proprio] [LibreSecu] [SecuLibre] [Exemples] [Conclusion] [Ressources] Le logiciel libre et la sécurité Les logiciels libres peuvent être utilisés en toute confiance Mêmes précautions que pour un logiciel propriétaire Il faut : Valider la méthode d'obtention du logiciel Télécharger depuis le site de l'auteur ou un miroir officiel Vérifier que l'on télécharge bien la version pour son système Lire les documentations Tester et valider le fonctionnement en production du logiciel Noter où obtenir mise à jour et support Hervé Schauer Consultants bis, rue de la Gare - F Levallois-Perret - France Téléphone : Télécopie : Courriel : - Page 9 -

10 [Accueil] [Plan] [Besoins] [Libre] [Proprio] [LibreSecu] [SecuLibre] [Exemples] [Conclusion] [Ressources] La sécurité grâce au logiciel libre Le logiciel libre permet notamment : L'analyse du code source La correction des failles L'indépendance du support Hervé Schauer Consultants bis, rue de la Gare - F Levallois-Perret - France Téléphone : Télécopie : Courriel : - Page 10 -

11 [Accueil] [Plan] [Besoins] [Libre] [Proprio] [LibreSecu] [SecuLibre] [Exemples] [Conclusion] [Ressources] La sécurité grâce au logiciel libre L'analyse du code source Sécurité curiosité regarder comment c'est conçu regarder comment c'est programmé, comprendre pourquoi et donner son avis détecter les failles éventuelles de sécurité là où un logiciel non accessible en source ne le permet pas Sources relues par de nombreuses personnes motivées et diversifiées (peer review) éditeurs propriétaires ne peuvent atteindre ce niveau de relecture attention : ce n'est pas une garantie Exemples : cheval de troie dans tcp_wrapper, faille dans ssh v1 Hervé Schauer Consultants bis, rue de la Gare - F Levallois-Perret - France Téléphone : Télécopie : Courriel : - Page 11 -

12 [Accueil] [Plan] [Besoins] [Libre] [Proprio] [LibreSecu] [SecuLibre] [Exemples] [Conclusion] [Ressources] La sécurité grâce au logiciel libre La correction des failles Possibilité d'agir soi-même autonomie Possibilité de faire agir un tiers immédiatement disponible indépendant des auteurs compétent permet de faire une correction rapidement en se reposant sur soi sans être dépendant d'un extérieur mal maîtrisé Existence d'une large communauté capable d'agir dans le code corrections dès la découverte du problème validation importante en peu de temps Exemple erreur pile IP Linux Hervé Schauer Consultants bis, rue de la Gare - F Levallois-Perret - France Téléphone : Télécopie : Courriel : - Page 12 -

13 [Accueil] [Plan] [Besoins] [Libre] [Proprio] [LibreSecu] [SecuLibre] [Exemples] [Conclusion] [Ressources] La sécurité grâce au logiciel libre L'indépendance du support L'indépendance du support et de l'assistance garanti la perennité du support garanti le niveau d'expertise Logiciel propriétaire support fournisseur, arrêt du logiciel (rachat, changement stratégique, etc) arrêt du support utilisation du logiciel dans un contexte spécifique sécurité : incompétence réactivité inadaptée pour le prix Logiciel libre appel à un support qualifié en sécurité Hervé Schauer Consultants bis, rue de la Gare - F Levallois-Perret - France Téléphone : Télécopie : Courriel : - Page 13 -

14 [Accueil] [Plan] [Besoins] [Libre] [Proprio] [LibreSecu] [SecuLibre] [Exemples] [Conclusion] [Ressources] Exemples de logiciels libres pour la sécurité (1/4) Filtrage IP NetFilter (Linux 2.4), Packet Filter (OpenBSD), IP-Filter (FreeBSD, NetBSD, Solaris, HP-UX, IRIX), IP-Chains (Linux 2.2), IP-Firewall (FreeBSD, Linux 2.0) Configuration du filtrage IP Firewall Builder, SmoothWall, PHP Firewall Generator, GFCC, Easy Firewall, Mason Network streams, Filterrules Filtrage IP en entrée sur un serveur tcp_wrapper, xinetd Relayage applicatif Squid, Solsoft NSM, Delegate, FWTK Hervé Schauer Consultants bis, rue de la Gare - F Levallois-Perret - France Téléphone : Télécopie : Courriel : - Page 14 -

15 [Accueil] [Plan] [Besoins] [Libre] [Proprio] [LibreSecu] [SecuLibre] [Exemples] [Conclusion] [Ressources] Exemples de logiciels libres pour la sécurité (2/4) Relayage applicatif en entrée Apache, Subweb Tests de vulnérabilités Nessus, Nmap, Hping, Whisker Détection d'intrusions Snort, Prelude, Ntop, Shadow, Bro (téléchargement) Chiffrement au niveau réseau : Implémentations libres d'ipsec KAME, Linux FreeS/Wan, OpenBSD, Pipsecd Chiffrement au niveau applicatif PGP, Gnu Privacy Guard, SSH (FAQ), OpenSSH, LSH, SSF Hervé Schauer Consultants bis, rue de la Gare - F Levallois-Perret - France Téléphone : Télécopie : Courriel : - Page 15 -

16 [Accueil] [Plan] [Besoins] [Libre] [Proprio] [LibreSecu] [SecuLibre] [Exemples] [Conclusion] [Ressources] Exemples de logiciels libres pour la sécurité (3/4) Authentification Opie (téléchargement), S/Key, Radius (RFC) (téléchargement), Tacacs (téléchargement), OpenLdap Serveurs WWW sécurisables et chiffrement SSL/TLS Apache, Apache-SSL, mod_ssl basé sur OpenSSL Infratructures de gestion de clés IDX-PKI, EU-PKI Hervé Schauer Consultants bis, rue de la Gare - F Levallois-Perret - France Téléphone : Télécopie : Courriel : - Page 16 -

17 [Accueil] [Plan] [Besoins] [Libre] [Proprio] [LibreSecu] [SecuLibre] [Exemples] [Conclusion] [Ressources] Contrôle d'intégrité AIDE, Tripwire, SamHain, Lastwall, etc Journalisation Swatch, Logsurfer, XML-logs, New Syslog, Modular Syslog, Syslog-NG Serveurs de nom, Serveurs de messagerie Bind, Postfix, Sendmail Serveurs de fichiers Samba Systèmes d'exploitation pour serveurs, fiables et à hautedisponibilité Linux, Linux HA, FreeBSD, OpenBSD, etc etc. Exemples de logiciels libres pour la sécurité (4/4) Hervé Schauer Consultants bis, rue de la Gare - F Levallois-Perret - France Téléphone : Télécopie : Courriel : - Page 17 -

18 [Accueil] [Plan] [Besoins] [Libre] [Proprio] [LibreSecu] [SecuLibre] [Exemples] [Conclusion] [Ressources] Conclusion En sécurité, il faut conseiller le logiciel libre comprendre ce qui se passe gagner son autonomie répondre aux besoins spécifiques obtenir la transparence Les logiciels libres apportent de la sécurité Le logiciel libre est crucial pour la sécurité Hervé Schauer Consultants bis, rue de la Gare - F Levallois-Perret - France Téléphone : Télécopie : Courriel : - Page 18 -

19 [Accueil] [Plan] [Besoins] [Libre] [Proprio] [LibreSecu] [SecuLibre] [Exemples] [Conclusion] [Ressources] Ressources Associations AFUL : Association Française des utilisateurs de Linux et des Logiciels Libres OSSIR : Observatoire de la Sécurité des Systèmes d'information et des Réseaux Papiers, débats et conférences The Cathedral and the Bazaar AFUL : Qu'est-ce que le logiciel libre? Autrans 98 : Table ronde sur les logiciels libres ENST-Bretagne : Un avenir pour le logiciel libre Autrans 99 : Logiciels libres et logiciels propriétaires Autrans 99 : Les logiciels libres et la sécurité Les documents Halloween : Jusqu'où Micro$oft vous emmènera-t-il? Définition de l'open Source SANS Bastillle-Linux project, Securing Linux workshop What's Wrong With Content Protection, de John Gilmore de l'eff Support du cours HSC Sécurité Linux : Hervé Schauer Consultants bis, rue de la Gare - F Levallois-Perret - France Téléphone : Télécopie : Courriel : - Page 19 -

20 Apache, Linux et la sécurité des serveurs web Linux Expo 1 Février 2002 Frédéric Lavécot Hervé Schauer Consultants <http://www.hsc.fr/> Copyright Hervé Schauer Consultants Reproduction Interdite Plan Apache Sécurité d un serveur web Installation d apache Mécanismes de sécurité Copyright Hervé Schauer Consultants Reproduction Interdite

21 Apache <http://httpd.apache.org/> Quelques chiffres (source Netcraft) : Apache : 56.50% IIS : I-Planet : 3.59% Zeus : 2.18% Copyright Hervé Schauer Consultants Reproduction Interdite Apache - Aujourd hui Apache octobre version stable Maturité exceptionnelle, le logiciel libre le plus utilisé sur Internet Tous les hébergeurs, les fournisseurs d accès, les consommateurs intensifs de ressources web, utilisent Apache Apache novembre version de développement $ telnet httpd.apache.org 80 Trying Connected to httpd.apache.org. Escape character is ^]. HEAD / HTTP/1.0 HTTP/ Found Server: Apache/ (Unix) Location: Copyright Hervé Schauer Consultants Reproduction Interdite

22 Apache - Forces Simplicité de configuration par défaut fonctionnelle et sûre 1 fichier : httpd.conf syntaxe claire et stable documentation extrêmement poussée Modularité Développement dynamique 40 développeurs dans le "core team", très stricts quant-à la tournure du développement Projets variés Tomcat : implémentation de référence des technologies Java-Server Coccon : environnement de publication en ligne de documents XML Copyright Hervé Schauer Consultants Reproduction Interdite La sécurisation est un processus Elle commence au moment de définir l architecture Bien débuter : installation minimale du serveur Ne pas oublier : se prolonge jusqu à ce que le serveur soit déconnecté de tout réseau Privilégier une approche pratique aux guides d assurances (orange book, common criteria,...) qui n ont pas la même vocation : Conçus pour l armée en dehors des contraintes des entreprises Copyright Hervé Schauer Consultants Reproduction Interdite

23 Mises à jour de sécurité La sécurité se dégrade rapidement si les programmes ne sont pas maintenus à jour, notamment pour : les services réseau les programmes SUID et/ou SGID Il est souvent nécessaire de mettre à jour une machine qui vient d être install ée Copyright Hervé Schauer Consultants Reproduction Interdite Se tenir au courant RedHat : mailing liste : avec le mot "subscribe" dans le sujet lire les avis de sécurité (RSA : RedHat Security Advisories) Debian : envoyer un mail à l adresse avec le mot "subscribe" dans le sujet Copyright Hervé Schauer Consultants Reproduction Interdite

24 Informations de sécurité généralistes Bugtraq : envoyer un message à avec dans le corps du message : SUBSCRIBE BUGTRAQ Nom, Prénom Securiteam : envoyer un mail avec un sujet vide à Les messages contienent un tag spécial dans le sujet : [NEWS] - General security news. [NT] -Windows specific issues. [UNIX] -UNIX specific issues. [EXPL] - Advisories that contain exploit code. [TOOL] - Free tool reviews. [REVS] - Commercial product reviews. Veilles commerciales Copyright Hervé Schauer Consultants Reproduction Interdite Installation d Apache Installation minimale : désactivation des modules non nécessaires Choix entre fonctionnement statique (toutes les fonctions compilées dans l exécutable) ou modulaire Exemple de configuration modulaire (DSO) :./configure --enable-module=most --enable-shared=max [...] Exemple de configuration statique :./configure --enable-module=rewrite --enable-module=proxy [...] Ne jamais configurer en./configure --enable-module=most [...] sans préciser le mode DSO. Toutes les fonctions seraient compilées en un unique exécutable. Ré percussion sur la configuration Directive LoadModule à utiliser pour sélectionner les modules à charger au démarrage, si et seulement si ils sont vraiment nécessaires. Copyright Hervé Schauer Consultants Reproduction Interdite

25 Installation d Apache Identité du serveur web Nécessité ABSOLUE d utiliser un utilisateur et un groupe dédiés pour faire fonctionner le serveur web Par défaut, il s agit de nobody:nogroup, pas assez restrictif. Le serveur est lancé avec l UID 0 (root), afin de s attacher au port privilégi é 80. Les processus suivants (issus de fork) prennent l identité de l utilisateur dédié pour répondre aux requêtes HTTP et exécuter les scripts CGI le cas échéant Cet utilisateur et ce groupe ne doivent disposer que d un nombre réduit de permissions : écriture des journaux, lecture des pages web, exécution d éventuels scripts de CGI, compte verrouillé Dans la configuration d Apache, on utilise les directives User et Group Apache Copyright Hervé Schauer Consultants Reproduction Interdite Restrictions d accès Directives <Directory>, <Files>, <DirectoryMatch>, <FileMatch> ScriptAlias <Limit>, <LimitExcept> pour limiter les méthodes HTTP.htaccess Gestion des liens symboliques Virtual Host Copyright Hervé Schauer Consultants Reproduction Interdite

26 Démonstrations authentification Basic authentification Basic + LDAP Mod_auth_ldap + OpenLDAP Modssl Copyright Hervé Schauer Consultants Reproduction Interdite Le protocole HTTPS Encapsulation du protocole HTTP dans SSL/TPS HTTP dans un tunnel chiffré, authentifié, avec contrôle d intégrité sur les données Copyright Hervé Schauer Consultants Reproduction Interdite

27 HTTPS n est pas une sécurité contre : Les applications/scripts mal écrits les failles du serveur web Contrairement à ce que certains voudraient faire croire : From Thu Jan 17 19:45: Subject: Choisissez la confiance et la sécurité avec Certplus Votre site Internet est-il suffisamment sécurisé pour la vente en ligne? Pour offrir à vos clients 100% de sécurité et de confiance, découvrez dès maintenant le Certificat Serveur. Ce véritable passeport électronique, émis au sein du VeriSign Trust Network, vous permettra : - De crypter vos transactions commerciales en ligne et de garantir la confidentialité à vos clients - De sécurisez vos Intranets et d échanger vos informations sensibles en toute confiance [...] Copyright Hervé Schauer Consultants Reproduction Interdite Exemple d attaques sur HTTPS 1/2 Avec openssl <http://www.openssl.org/> : $ openssl s_client -connect :443 CONNECTED( ) depth=0 /C=FR/ST=Paris/L=Paris/O=XXXXXX XXXXXXXXXX/OU=DSIN/DU04/OU=Terms of use at (c) 01/OU=Authenticated by Certplus SA/OU=Member, Veri [...] GET /COM_DIS_Main/1,1500,blah_0_0_hsc,01.html HTTP/1.0 Host: secure.xxxxxx.xxxxxxxxxx.xxx [...] proc ::Projet::Qols::Sql::PCT_QOLS_SEL_SGE { {codeerr ""} } { eval "SEARCH PROCEDURE PKG_QOLS.PCT_QOLS_SEL_SGE INTO result PARAMETERS { codeerr } VALUES { {codeerr} }" return $result } [...] Copyright Hervé Schauer Consultants Reproduction Interdite

28 Exemple d attaques sur HTTPS 2/2 Avec stunnel <http://www.stunnel.org/> : $ stunnel -c -d 80 -r :443 $ perl -e print "A"x5000," / HTTP/1.0\r\n" nc localhost 80 HTTP/ Request-URI Too Large Date: Mon, 21 Jan :26:52 GMT Server: Apache/ Connection: close Content-Type: text/html; charset=iso Copyright Hervé Schauer Consultants Reproduction Interdite Reverse proxy Un relais inverse n est utile que s il apporte : des fonctionnalités (authentification par mots de passe ou forte par certificats, chiffrement, filtrage applicatif). du filtrage pour protéger les cgi : filtrage d URL (chemin, fichier, extension, type de paramètres,...) filtrage des cookies... Copyright Hervé Schauer Consultants Reproduction Interdite

29 Filtrage d URL et de contenu Modules apaches mod_rewrite : ré-écriture d URL Principe d un cgi-wrapper Ne jamais faire confiance aux données qui viennent d Internet Vérifier toutes les données utilisateurs Copyright Hervé Schauer Consultants Reproduction Interdite mod_rewrite <http://httpd.apache.org/docs/mod/mod_rewrite.html> <http://www.hsc.fr/ressources/breves/filtre-relais-inverse.html>./configure --enable-module-rewrite Ré-écriture d URL Très puissant mais peut s avérer complexe à mettre en oeuvre désactiver ProxyPass et ProxyPassReverse (sinon s exécutent avant Rewrite Rules) basé sur des expressions régulières 1 pour la correspondance 1 pour la réécriture puis prise de décision : P (proxy), F (forbidden),... Comme le filtrage IP : autoriser de qui est connu et par défaut interdire tout RewriteRule.* / [F] Copyright Hervé Schauer Consultants Reproduction Interdite

30 mod_rewrite : Exemples RewriteEngine On RewriteLog logs/rewrite.log RewriteLogLevel 9 RewriteRule \.htr($.*) / [F] dans logs/rewrite/log [23/Jan/2002:09:43: ] [avalon.hsc.fr/sid#80d3034][rid#8102c 3c/initial/redir#1] (2) init rewrite engine with requested uri /index.html.en [23/Jan/2002:09:43: ] [avalon.hsc.fr/sid#80d3034][rid#8102c 3c/initial/redir#1] (3) applying pattern \.htr($.*) to uri /index.html.en [23/Jan/2002:09:43: ] [avalon.hsc.fr/sid#80d3034][rid#8102c 3c/initial/redir#1] (1) pass through /index.html.en [23/Jan/2002:09:44: ] [avalon.hsc.fr/sid#80d3034][rid# /initial] (3) applying pattern \.htr($.*) to uri /blah.htr [23/Jan/2002:09:44: ] [avalon.hsc.fr/sid#80d3034][rid# /initial] (2) rewrite /blah.htr -> / [23/Jan/2002:09:44: ] [avalon.hsc.fr/sid#80d3034][rid# /initial] (2) forcing / to be forbidden Copyright Hervé Schauer Consultants Reproduction Interdite mod_rewrite : Exemples RewriteRule index\.html($.*) index\.html2 [L] [23/Jan/2002:11:41: ] [avalon.hsc.fr/sid#80d3034][rid#8105c94/initial/redir#1] (2) rewrite /index.html -> /index2.html [23/Jan/2002:11:41: ] [avalon.hsc.fr/sid#80d3034][rid#8105c94/initial/redir#1] (2) local path result: /index2.html [23/Jan/2002:11:41: ] [avalon.hsc.fr/sid#80d3034][rid#8105c94/initial/redir#1] (2) prefixed with document_root to /usr/local/apache/htdocs/index2.html [23/Jan/2002:11:41: ] [avalon.hsc.fr/sid#80d3034][rid#8105c94/initial/redir#1] (1) go-ahead with /usr/local/apache/htdocs/index2.html [OK] Copyright Hervé Schauer Consultants Reproduction Interdite

31 CGI wrapper <http://www.hsc.fr/ressources/breves/cgi-wrapper.html> Protéger des cgi dont on a pas forcément les sources Filtrer les paramètres d un cgi appelé à la place du cgi original et vérifie la taille minimum d un paramètre la taille maximum d un paramètre le type de données grâce à une expression régulière Copyright Hervé Schauer Consultants Reproduction Interdite Les autres possibilités Filtrer la conformité d un cookie / du sessionid avec le mécanisme de génération scellement des champs hidden (expérimental dans subweb) Chiffrer la valeur des champs hidden pour qu ils ne soient pas modifiés chiffrement des URL jeton pour passer d un script à un autre Eviter de deviner les URLs par force-brute Copyright Hervé Schauer Consultants Reproduction Interdite

32 Sécurité des applications Un cgi n est sur que si le code source a été audité. Bon réflexe de tester vous mêmes vos propres cgi. De même que l on fait tourner nmap sur un serveur pour tester le filtrage il existe des outils pour vous aider à tester vos applications. subweb : <http://www.hsc.fr/ressources/outils/subweb/> babelweb : <http://www.hsc.fr/ressources/outils/babelweb> nikto, rfproxy, cgi-scan,... Copyright Hervé Schauer Consultants Reproduction Interdite Gestion des sessions RFC 2109: HTTP State Management Mechanism Doos and don ts of client authentication on the web Copyright Hervé Schauer Consultants Reproduction Interdite

33 Rappel Apache Installation d apache restrictions d accès Authentification et modules d authentification HTTPS le protocole attaques sur https Filtrage d URL et de contenu mod_rewrite cgi-wrapper Sécurité des applications Gestion des sessions Copyright Hervé Schauer Consultants Reproduction Interdite

34 Les caractéristiques de Linux en sécurité Denis Ducamp / Hervé Schauer Consultants Février 2002 Reproduction strictement interdite 1. Introduction Cette présentation va aborder deux aspects distincts : les principales fonctions de sécurité du noyau Linux 2.2 l'authentification avec PAM (Pluggable Authentication Modules) 1.1 Qu'est ce qu'un noyau? Le noyau est le coeur du système. Il peut être comparé à un "gros programme" qui serait chargé en mémoire à l'initialisation de la machine. Ses principales tâches sont de : gérer les systèmes d'entrées / sorties et les processus. distribuer aux processus les ressources en temps processeur et en mémoire. Les programmes accèdent aux fonctionnalités du noyau via les appels systèmes. 1.2 Les principales fonctions de sécurité de Linux 2.2 Les privilèges (capabilities) Les risques des modules La comptabilité Le chiffrement de systèmes de fichiers Divers : les patchs de sécurité, les distributions sécurisées et subterfugue. 2. Privilèges (capabilities) Qu'est ce qu'un privilège? Les privilèges linux Les privilèges des processus - Page 1 -

35 Gestion des processus Exemples de processus Les privilèges des fichiers exécutables Exemples de fichiers exécutables Références 2.1 Qu'est ce qu'un privilège? Sur un système Unix classique, le compte root (UID égal à 0) possède tous les droits. Il peut ainsi lire tous les fichiers et tuer tous les processus. Si un programme a besoin d'un privilège alors le processus devra avoir l'identité de root. Par exemple un programme de sauvegarde n'a besoin que de pouvoir lire tous les fichiers. En s'exécutant en tant que root, il obtient le contrôle total du système et peut donc tuer tous les processus. Les privilèges (capabilities) sont le partitionnement des privilèges du compte root (UID = 0) en droits unitaires. Il est ainsi possible d'allouer à des processus les seuls droits dont ils ont besoin. 2.2 Les privilèges linux Le système de privilèges utilisé est celui défini par le draft POSIX e "POSIX capabilities" qui est maintenant abandonné. Actuellement seuls les processus sont associés aux privilèges. Deux implémentations sont en cours de réalisation pour gérer les privilèges au niveau des fichiers exécutables. Chaque processus possède trois ensembles de privilèges : permitted(p) : les privilèges que le processus courant possède effective(e) : les privilèges que le processus courant peut exécuter inheritable(i) : les privilèges qui seront hérités par un processus fils 2.3 Les privilèges des processus L'implémentation du noyau 2.2 ne fait aucune référence à l'uid d'un processus pour savoir quels sont ses droits, seul l'ensemble de ses privilèges effectifs (E) est consulté. Sur un système Unix classique les processus appartenant à root possèdent tous les privilèges, les autres processus n'en possèdent aucun. Le privilège CAP_SETPCAP permet de changer les privilèges d'autres processus. Cette fonctionnalité n'existant pas sur un système classique, ce privilège n'est donné - Page 2 -

36 à aucun processus sous Linux 2.2. L'ensemble des privilèges est défini dans le fichier /usr/src/linux/include/linux/capability.h Afin d'avoir un système fonctionnel à base de privilèges il est nécessaire de modifier deux lignes dans les sources du noyau pour que les processus appartenant à root acquièrent ce privilège (voir FAQ). Il est possible depuis la version d'utiliser le fichier /proc/sys/kernel/cap-bound pour consulter l'ensemble des privilèges du système. Il est possible de supprimer des privilèges du système qui n'ont pas ou plus de raison d'être : CAP_NET_ADMIN, CAP_NET_RAW, CAP_SYS_MODULE, CAP_SYS_CHROOT L'utilitaire lcap disponible sur le site <http://pweb.netcom.com/~spoon/lcap/> permet de supprimer aisément des privilèges du système. 2.4 Gestion des processus Les deux utilitaires à connaître sont : execcap <caps> <command-path> command-args... permet d'exécuter un programme avec des privilèges réduits sucap <user> <group> <caps> <command-path> command-args... permet d'exécuter un programme avec des privilèges réduits en spécifiant l'utilisateur et le groupe d'exécution. Note : utiliser les utilitaires fournis avec une version 1.10 ou plus récente de la bibliothèque libcap (voir Références) 2.5 Exemples de processus Dans les exemples ci-dessous, le programme lancé est un serveur de tamagoshi qui ouvrira une socket sur un port privilégié (999). execcap cap_net_bind_service=eip /usr/local/bin/tama 999 Le processus est exécuté en tant que root mais ne possède que le droit d'ouvrir des ports privilégiés. Si le programme possède une vulnérabilité, alors il ne pourra être utilisé que pour accéder à des fichiers appartenant à root. sucap tama tama cap_net_bind_service=eip /usr/local/bin/tama 999 Le processus est exécuté en tant que tama mais possède le privilège d'ouvrir des ports privilégiés. Si le programme possède une vulnérabilité, alors il ne pourra être utilisé que pour accéder à des fichiers appartenant à tama. Il existe des conditions dans lesquelles le programme aura commencé à être exécuté par le système alors que ses privilèges ne lui auront pas encore été accordés. - Page 3 -

37 Ce problème sera réglé lorsque les privilèges seront gérés au niveau des fichiers. 2.6 Les privilèges des fichiers exécutables Deux implémentations sont en cours de développement : fcaps : VFS layer patchs for capabilities Permet d'accorder à tout fichier exécutable des privilèges. L'ensemble de ces privilèges sont enregistrés au niveau du système de fichiers. elfcap : Elf capabilities hack Permet de retirer des privilèges à tout fichier exécutable au format elf. L'ensemble de ces privilèges sont enregistrés au niveau de l'en-tête elf. 2.7 Exemples de fichiers exécutables Les exemples ci-dessous comparent les deux solutions pour le programme ping qui nécessite le privilège CAP_NET_RAW pour ouvrir une socket en mode raw. fcaps : ping n'a pas besoin d'être SUID root Le processus a pour identité celle de l'utilisateur qui l'a lancé. Les utilitaires nécessaires sont ceux fournis avec la libcap Le patch fcaps n'est pas sufisamment avancé pour être utilisé sur des systèmes en production. elfcap ping doit être SUID root Si l'administrateur utilise l'option adéquate lors de la définition des privilèges accordés alors le processus peut avoir pour identité celle de l'utilisateur qui l'a lancé; sinon il sera root. Les utilitaires nécessaires doivent être récupérés avec le patch. Le patch elfcap est suffisament avancé pour être utilisé sur des systèmes en production. Ce système est actuellement limité aux fichiers au format elf. 2.8 Références Linux Capabilities FAQ 0.2 <ftp://ftp.kernel.org/pub/linux/libs/security/linux-privs/kernel-2.2/capfaq-0.2.txt> ou <ftp://ftp.guardian.no/pub/free/linux/capabilities/capfaq.txt> libcap <ftp://ftp.kernel.org/pub/linux/libs/security/linux-privs/kernel-2.2/> et fcaps (+extended attributes, voir <http://acl.bestbits.at/>) : <ftp://ftp.kernel.org/pub/linux/libs/security/linux-privs/kernel-2.2-fcap/> pour Linux 2.2 ou <ftp://ftp.kernel.org/pub/linux/libs/security/linux-privs/kernel-2.4-fcap/> pour Linux 2.4. par Andrew Morgan : - Page 4 -

38 bibliothèque (libcap), utilitaires et patchs noyaux. Elf capabilities hack <http://atrey.karlin.mff.cuni.cz/~pavel/elfcap.html> par Pavel Machek : utilitaires et patchs noyaux (2.2.x seulement). 3. Les risques des modules Définitions Les risques Avantages pour l'administrateur Avantages pour les pirates 3.1 Définitions Un module est un morceau de code permettant d'ajouter des fonctionnalités au noyau : pilotes de périphériques matériels, protocoles réseaux, etc. Il peut être chargé dynamiquement sans avoir besoin de recompiler le noyau ou de redémarrer le système. Les modules sont exécutés dans l'espace mémoire du noyau : ils possèdent le contrôle total de la machine ils peuvent détourner ou créer un appel système 3.2 Les risques Les modules ne rentrent pas en jeu dans la sécurité d'un système Les modules possèdent le contrôle total de la machine et peuvent : permettre aux administrateurs d'améliorer la sécurité du système permettre aux pirates d'affaiblir la sécurité du système. 3.3 Les avantages pour l'administrateur Mettre à jour un pilote sans recompiler le noyau ni redémarrer le système. Détourner certains appels systèmes pour surveiller l'activité du système : rediriger ou journaliser les accès à certains fichiers journaliser les ajouts et les suppressions de modules; fonctions pouvant être soumises à l'authentification préalable de l'utilisateur. - Page 5 -

39 Voir <http://www.hsc.fr/ressources/breves/modules.html> qui montre comment les modules peuvent aider l'administrateur système à sécuriser sa station. 3.4 Les avantages pour les pirates Prendre le contrôle total de la machine en détournant des appels systèmes : modifier la configuration apparente de la machine : mode promiscuous cacher des fichiers : rendre invisible les fichiers commençant par un mot clé filtrer le contenu d'un fichier : ôter des journaux, les lignes contenant l'adresse IP du pirate détourner les demandes de changement d'identité : un compte utilisateur donné peut devenir administrateur sortir d'un environnement restreint (chroot) 3.5 Références cacher un processus : rendre invisibles les processus commençant par un mot clé rediriger l'exécution de programmes : installer des backdoor sans modifier les programmes originaux "(nearly) Complete Linux Loadable Kernel Modules" <http://www.thehackerschoice.com/papers/lkm_hacking.html> par pragmatic / THC : descriptions de nombreuses utilisations des modules sous Linux avec les sources pour Linux 2.0.3x Le même document existe pour : FreeBSD <http://www.thehackerschoice.com/papers/bsdkern.html> par pragmatic / THC Solaris <http://www.thehackerschoice.com/papers/slkm-1.0.html> par plasmoid / THC "lcamtuf::pliki" <http://dione.ids.pl/~lcamtuf/pliki.html> ou "lcamtuf::soft" <http://lcamtuf.coredump.cx/soft/> par Michal Zalewski / : de nombreux sources de modules ou de patchs noyaux pour Linux 2.0.3x ou 2.2.x - la majorité en polonais. Phrack Magazine <http://www.phrack.org/> : "Weakening the Linux Kernel" (Issue 52 article 18) par plaguez : description et sources d'un cheval de Troie s'initialisant par un module. "btrom" (Issue 54 article 03) par riq : description et sources d'un programme de détection et de désactivation de chevaux de Troie fonctionnant sur le modèle précédent. adore et knark : 2 root-kits en modules - Page 6 -

40 Voir <http://packetstorm.decepticons.org/> et voir <http://www.hsc.fr/tools/rkscan/> pour un détecteur (par force brute). 4. La comptabilité Enregistrement automatique par le noyau des ressources utilisées par chaque processus lors de leurs terminaisons : date de création utilisateur propriétaire nom de la commande utilisation de la mémoire terminal contrôlé temps processeur utilisé nombre d'entrées/sorties réalisées 4.1 Les utilitaires Les utilitaires nécessaires à l'utilisation des données de comptabilités sont ceux édités par GNU <http://www.gnu.org/> : acct tar.gz. Voir dans <ftp://ftp.gnu.org/gnu/acct/>. Cette archive renferme entre autres les utilitaires suivants : accton : active et désactive la comptabilité lastcomm : affiche des informations à propos des dernières commandes sa : résume les informations de comptabilité 4.2 Mise en route Pré-requis : le support noyau doit être activé. (sélectionner l'option "BSD Process Accounting" dans le menu "General setup") La comptabilité est activée par la commande accton /var/account/pacct Le journal doit exister avant l'appel à cette commande, il peut être préférable de restreindre les droits d'accès au journal. Le comportement de la comptabilité peut être modifié via l'entrée /proc/sys/kernel/acct qui contient 3 entrées : limite basse : espace libre nécessaire pour que la comptabilité reste active. limite haute : espace libre nécessaire pour que la comptabilité se réactive. - Page 7 -

41 fréquence : temps en secondes entre deux vérifications de l'espace libre. 4.3 Statistiques Les deux commandes suivantes permettent de synthétiser les données : sa : totalise pour chacune des commandes peut appliquer différents ordres de tris (entrées/sorties, temps processeurs et nombres d'appels). peut totaliser les temps processeurs pour chacun des utilisateurs. lastcomm : affiche les dernières commandes exécutées peut limiter l'affichage à un nom de commande, un nom d'utilisateur, un nom de terminal ou toute combinaison de plusieurs de ces trois précédents éléments. La commande dump-acct /var/account/pacct exporte au format texte le contenu du fichier de comptabilité. Il est ainsi possible de réaliser de façon simple ses propres statistiques avec des languages comme awk et perl. 5. Le chiffrement de systèmes de fichiers Fonctionnement Notes Algorithmes Exemple Références 5.1 Fonctionnement La commande losetup associe un loopback (périphérique virtuel) à une partition. Si un algorithme de chiffrement est sélectionné alors un mot de passe est demandé. L'opération de montage de la partition se fait en indiquant le loopback associé à la partition désirée. Toutes les données envoyées au loopback sont écrites chiffrées dans la partition. Lors d'une lecture dans le loopback, les données correspondantes sont lues dans la partition et déchiffrées en mémoire. 5.2 Notes à cause des lois sur l'exportation et l'utilisation de la cryptographie, les fonctionnalités de chiffrement de Linux ne peuvent être incluses dans la distribution standard. Des patchs officiels sont disponibles pour ajouter ces fonctions aux sources du - Page 8 -

42 noyau. Ces patchs sont disponibles sur le site <http://www.kernel.org/pub/linux/kernel/crypto/> les commandes losetup, mount et umount doivent être patchées pour supporter ces fonctionnalités. Les patchs nécessaires sont fournis avec les patchs du noyau. un fichier peut être associé à un loopback. Cela permet : de créer de petites partitions chiffrées qui peuvent être montées seulement lorsqu'elles sont nécessaires. de sauvegarder de façon sécurisée une partition vers un fichier chiffré. 5.3 Algorithmes Deux algorithmes ont été implémentés pour chiffrer des partitions : CAST-128 défini dans le RFC 2144; voir <http://www.entrust.com/> utilisé en mode ECB Twofish défini par Bruce Schneier, Doug Whiting, John Kelsey, Chris Hall et David Wagner; voir <http://www.counterpane.com> utilisé en mode CBC Une option permet d'utiliser en mode CBC n'importe lequel des dix algorithmes présents dans la bibliothèque pour chiffrer une partition. AES, Blowfish, 3DES, DES, DFC, IDEA, MARS, RC5, RC6 et Serpent. Les algorithmes de hachage MD5 et SHA1 sont également disponibles. 5.4 Exemple Sauvegarde de fichiers dans un fichier chiffré : # dd if=/dev/urandom of=~/mon_fichier bs=1k count=100 # losetup -e twofish /dev/loop0 ~/mon_fichier Password: # mkfs -t ext2 /dev/loop0 # mount -t ext2 /dev/loop0 ~/mnt # cp -pr ~/prive ~/mnt # umount /dev/loop0 # losetup -d /dev/loop0 5.5 Références Les patchs officiels pour les noyaux 2.2.x et 2.4.x sont disponibles sur le site ftp suivant : <ftp://ftp.kernel.org/pub/linux/kernel/crypto/> et depuis le site web correspondant : <http://www.kernel.org/pub/linux/kernel/crypto/> Des patchs existent pour les versions 2.0.3x dans <ftp://ftp.kerneli.org/pub/kerneli/netsource/loop/> (ne sont plus accessibles) loopback-berkeley-recent : DES et IDEA by Ian Goldberg - Page 9 -

43 loopback-device-aem : CAST et IDEA by Andrew E. Mileski Transparent Cryptographic File System <http://tcfs.dia.unisa.it/> : TCFS est un système de fichiers distribué fournissant un service similaire à NFS mais avec du chiffrement en 3DES, IDEA ou RC5. Ce système est développé au Dipartimento di Informatica ed Applicazioni of the Università di Salerno (Italy) et en cours de portage sur OpenBSD et NetBSD. 6. Divers Les fonctions présentées font partie du patch secure-linux <http://www.openwall.com/linux/> développé par Solar Designer ces fonctions sont disponibles pour les versions et Une version de test devrait être prochainement disponible pour les versions 2.4.x. Les distributions Linux présentées sont soit en cours de développement, soit en cours d'étude. La distribution Owl est basée sur la revue proactive de code source subterfugue est une nouvelle fonctionnalité de restriction d'accès du noyau Patchs de sécurité partition /proc restreinte : Chaque utilisateur n'a accès qu'aux données concernant ses propres processus Un groupe d'administration peut être désigné pour avoir accès : à toutes les données concernant tous les processus aux événements générés durant la période d'initialisation du système (dmesg). à toutes les données concernant les connexions actives. <http://underley.zakopane.top.pl/linux/restricted-procfs.html> ou <http://www.underley.eu.org/linux/> par Daniel Podlejski liens et tubes nommés restreints dans /tmp : un processus n'a accès à un lien ou à un tube nommé dans /tmp seulement s'il lui appartient ou qu'il appartient à root. <http://www.sekure.org/english/resources.html> (n'est plus disponible) par Sekure SDI <http://www.sekure.org/> (Brazilian Info Security Team) création des descripteurs de fichiers 0, 1 et 2 pour les programmes SUID ces fichiers possèdent des significations spéciales pour les librairies de nombreux programmes y accèdent en utilisant leurs numéros usuellement affectés pile non exécutable : la pile est rendue non exécutable afin d'empêcher la majorité des exploitations par débordement de buffer de fonctionner le principal problème est la gestion des programmes en glibc2.x qui utilisent les sauts par trampoline : le noyau doit détecter et émuler les sauts par trampoline il est (théoriquement) possible de duper cette fonctionalité et d'exécuter un - Page 10 -

44 débordement de buffer 6.2 Distributions sécurisées bastille-linux <http://bastille-linux.sourceforge.net/> : basée sur une distribution RedHat, le but est de constituer une distribution utilisable dans les universités et les établissements éducatifs. Le projet consiste aujourd'hui en un script de durcissement de systèmes : Redhat 5.2 à 6.2 et 7.x Mandrake 7.0 & 7.1 et 8.x SlackWare 7.0 & 7.1 Solaris 2.6 & 7!!! La version est disponible depuis le 19 octobre 2000 : bugs fixes... undo, extensibilité à d'autres distributions, log only... La version est disponible depuis le 11 juin 2001 : support de Red Hat 7 et Mandrake 8, nouvelle interface graphique utilisateur, grande amélioration de l'intelligence... La prochaine version supportera RedHat 7.2 et HP-UX. Stack-Guard <http://www.imunix.org/products.html#stackguard> : il s'agit d'un patch au compilateur gcc afin de générer du code auto-immune aux exploitations de débordements de tampons par exécution de code dans la pile. Cette méthode a montré à de maintes reprises son efficacité : les exploitations de faille de sécurité sont dans la quasi totalité de ce type. Une version de RedHat 5.2 entièrement recompilée est disponible. Il s'agit d'une approche complémentaire à : l'utilisation d'une pile non exécutable l'audit des codes sources. La version 2.O de stackguard est un port pour egcs et une version d'immunix OS 6.2 basé sur Red Hat 6.2 est disponible. Vulnérable si l'attaquant peut scanner le contenu de la pile : vulnérabilités des chaines de formats. Ex : wuftpd Une version "Immunix System 7" est disponible, intégrant d'autres outils de "tolérence aux vulnérabilités". Nexus Linux <http://www.lemuria.org/nexus/> : distribution s'adressant aux administrateurs dont la première préocupation est la sécurité, elle fournit par défaut OpenSSH et apache avec le support SSL. Cette distribution se trouve à l'état de développement : v0.5 Disponible sur le site <ftp://ftp.lemuria.org/pub/nexus/> Il s'agit en fait de l'ancienne distribution kha0s <http://www.kha0s.org/>. nmrcos <http://www.nmrc.org/nmrcos/> : le but est de fournir un système stable et sécurisé. Basée sur une distribution SlackWare avec un noyau , il intègre plusieurs patchs de sécurité pour le noyau : "Solar Designer's patch", "Trusted path support", "Probe Detection Patch", etc. Un script durcit les droits d'accès sur de nombreux fichiers sensibles. Après avoir été très longtemps "En cours de portage sous Linux ", la version beta de nmrcos est maintenant annoncée pour octobre slinux : le but est de fournir une distribution sécurisée "à tous les niveaux". Plus complète que les autres distributions, elle devrait fournir toutes les fonctions comme la gestion des - Page 11 -

45 privilèges, le chiffrement de partitions, etc. A l'heure actuelle, le développement de cette distribution n'a toujours pas commencé. Il s'agit en fait de l'ancienne distribution securelinux. 6.3 La distribution sécurisée : Owl Owl <http://www.openwall.com/owl/> : système d'exploitation à la sécurité améliorée destiné comme plate-forme de serveur. Utilise la revue proactive de code source pour plusieurs types de vulnérabilités logicielles. Actuellement, seuls les morceaux de code qui : sont exécutés avec des privilèges supérieurs à ceux d'un simple utilisateur et/ou traitent typiquement des données obtenues au travers du réseau sont audités avant que le composant logiciel correspondant soit inclus. Ceci couvre les suites de codes pertinentes dans : beaucoup des bibliothèques système, tous les programmes SUID/SGID, tous les démons et services réseau. Utilise de la cryptographie "forte" dans ses composants coeur Inclut déjà quelques capacités d'applications de politique de sécurité vérification proactive des mots de passe avec "pam_passwdqc", expiration de mots de passe et de comptes contrôle d'accès basé sur les adresses réseau) et de vérification d'intégrité ("mtree"). 6.4 subterfugue subterfugue permet de limiter les accès d'un processus et de ses descendants. par Mike Coleman téléchargement : Le noyau Linux supporte nativement subterfugue depuis pre1. il est possible : de restreindre les accès disques en spécifiant : les arborescences non accessibles les arborescences accessibles en lecture seulement les arborescences accessibles en lecture et écriture d'étendre les arguments à des noms de fichiers complets et d'y appliquer des expressions rationelles (regexp) de comptabiliser le nombre d'appels systèmes et de signaux d'interdire ou de limiter les accès réseaux d'interdire la fermeture des entrées / sorties standards et d'erreur d'interdire l'envoi de signaux à des processus "étrangers" de tracer les appels systèmes (en se limitant éventuellement à certains appels seulement) de restreindre les positionnements de droits d'accès (interdire les SUID, l'écriture - Page 12 -

46 pour tous...) 7. PAM (Pluggable Authentication Modules) Historiquement, l'authentification des utilisateurs sous Unix se basait sur la saisie d'un mot de passe et sa vérification à partir du fichier /etc/passwd. A chaque amélioration de ce schéma (/etc/shadow, mots de passe jetables...) tous les programmes (login, ftpd...) devaient être réécrits pour supporter ces nouvelles fonctionnalités. PAM se veut un mécanisme flexible d'authentification des utilisateurs. Les programmes supportant PAM doivent pouvoir se lier dynamiquement à des modules chargés d'effectuer l'authentification. L'ordre d'attachement des modules et leurs configurations sont à la charge de l'administrateur système qui gère cela de façon centralisée. 7.1 Configuration Chaque application PAM doit posséder un fichier de configuration dans le répertoire /etc/pam.d. Chacun de ces fichiers est composé de 4 colonnes : type de module : auth : authentification de l'utilisateur account : gestion des utilisateurs (ex : restrictions horaires) session : tâches à effectuer en début et fin de chaque session ex : montage de répertoires, contrôle des ressources password : mise à jour du jeton d'authentification de l'utilisateur contrôle de réussite required : la réussite d'au moins un des modules required est nécessaire requisite : la réussite de tous les modules requisite est nécessaire sufficient : la réussite d'un seul module sufficient est suffisant optional : la réussite d'au moins un des modules required est nécessaire si aucun autre n'a réussi chemin du module, en général dans /lib/security. arguments optionnels Le fichier /etc/pam.d/other fournit les configurations par défaut pour tout type de module non spécifié dans le fichier de configuration de l'application. 7.2 Quelques modules intéressants pam_cracklib : ce module utilise la bibliothèque cracklib pour vérifier la solidité d'un nouveau mot de passe. Il peut également vérifier que le nouveau mot de passe n'est pas construit à partir de l'ancien. pam_limits : ce module permet de limiter les ressources accessibles à un utilisateur et/ou à un groupe comme le nombre de processus simultanés et leurs temps CPU, le nombre de fichiers ouverts simultanés et leurs tailles, le nombre de connexions simultanées, etc. La configuration se fait via le fichier /etc/security/limits.conf - Page 13 -

47 pam_rootok : permet à root l'accès à un service sans avoir à rentrer de mot de passe. A n'utiliser qu'avec chfn ou chsh, surtout pas avec login. pam_time : permet de limiter les horaires d'accès. La configuration se fait via le fichier /etc/security/time.conf pam_wheel : ne permet l'accès au compte root qu'aux seuls membres du groupe wheel. A utiliser qu'avec su. pam_cap : ce module permet de forcer l'ensemble des privilèges accordés à un utilisateur. 7.3 Références <ftp://ftp.kernel.org/pub/linux/libs/pam/> : bibliothèques et programmes PAM pour Linux. <ftp://ftp.kernel.org/pub/linux/libs/pam/linux-pam-html/> : The Linux-PAM System Administrators' Guide <ftp://ftp.kernel.org/pub/linux/libs/pam/linux-pam-html/pam.html> par Andrew G. Morgan The Linux-PAM Application Developers' Guide <ftp://ftp.kernel.org/pub/linux/libs/pam/linux-pam-html/pam_appl.html> par Andrew G. Morgan The Linux-PAM Module Writers' Guide <ftp://ftp.kernel.org/pub/linux/libs/pam/linux-pam-html/pam_modules.html> par Andrew G. Morgan Unified Login With Pluggable Authentication Modules <http://www.pilgrim.umass.edu/pub/osf_dce/rfc/rfc86.0.txt> : Open Software Foundation Request For Comments 86.0 par V. Samar and R. Schemers (SunSoft) Hervé Schauer Consultants bis, rue de la gare Levallois-Perret Téléphone : Télécopie : Courriel : - Page 14 -

48 Les firewalls libres : netfilter, IP Filter et Packet Filter Linux Expo Paris 1er Février 2002 Jean-Baptiste Marchand Hervé Schauer Consultants Firewalls libres : netfilter, IP Filter et Packet Filter p.1 Firewalls Firewalls Logiciel de contrôle d accès au niveau réseau Fonctionnalité principale : filtrage IP Fonctionnalité supplémentaire souvent présente : traduction d adresses et de ports Filtrage IP Idée : contrôler les paquets IP autorisés à atteindre un hôte Intérêt : sécuriser un hôte de façon globale (au niveau réseau) Traduction d addresses et de ports Idée : récrire les en-têtes des paquets Intérêt : faire face à la pénurie d adresses routables sur l Internet Firewalls libres : netfilter, IP Filter et Packet Filter p.2

49 netfilter Firewalls libres Filtre de paquets du noyau Linux 2.4 Successeur d IPchains (Linux 2.2) Conçu par Paul "Rusty" Russell Développé par un noyau dur de 5 personnes Contributions pour des améliorations ou corrections IP Filter Filtre de paquets fonctionnant sous Unix libres et propriétaires Intégré dans FreeBSD et NetBSD Conçu et développé par Darren Reed Packet Filter Filtre de paquets dans OpenBSD (à partir de la version 3.0) Conçu par Daniel Hartmeier Développé par l équipe d OpenBSD Firewalls libres : netfilter, IP Filter et Packet Filter p.3 Filtrage IP standard Critères Interface réseau : entrée ou sortie Adresses IP (source et destination) : hôte ou sous-réseau Champs de l en-tête IP Fragmentation TOS et TTL Options IP Protocoles de niveau 4 : TCP, UDP et ICMP Ports source et destination (TCP et UDP) Drapeaux (TCP) Types et codes (ICMP) Actions Laisser passer Bloquer (façon silencieuse) Rejeter (message ICMP ou segment TCP avec drapeau RST) Firewalls libres : netfilter, IP Filter et Packet Filter p.4

50 Filtrage à états Principe Filtrage dynamique, en conservant des états pour les communications en cours Seuls des paquets correspondants à un état pré-existant sont acceptés Intérêt Simplifie l écriture des règles de filtrage Améliore la sécurité, en n autorisant que le trafic effectivement licite Protocoles TCP Segments appartenant à une connexion TCP en cours UDP Datagrammes en réponse à un datagramme UDP émis Messages ICMP d erreur ICMP Messages ICMP en réponse à un message ICMP émis Firewalls libres : netfilter, IP Filter et Packet Filter p.5 Filtrage à états : mise en oeuvre Mise en oeuvre Création d un état lors de la traversée du premier paquet Mémorisation de paramètres identifiant de façon unique une communication Validation des paquets par comparaison des états courants Expiration des états après un temps paramétrable Paramètres conservés TCP Adresses source et destination Ports source et destination Type, code, identifiant et numéro de séquence (ICMP) S assurer que des segments TCP font partie d une connexion en cours est complexe Real Stateful TCP Packet Filtering in Ipfilter Firewalls libres : netfilter, IP Filter et Packet Filter p.6

51 Traduction d adresses et de ports Traduction d adresses Uni-directionnelle Traduction en sortie d adresses (typiquement) privées en adresse(s) publique(s) Possibilité de changer le port source Bi-directionnelle Traduction d une adresse (typiquement) publique en une adresse (typiquement) privée et réciproquement Redirection de ports Rediriction d un port en entrée vers un autre, en modifiant l adresse de destination ou non Mise en oeuvre Fonctionnalités présentes dans netfilter, IP Filter et Packet Filter Ne sont pas détaillées ici Firewalls libres : netfilter, IP Filter et Packet Filter p.7 netfilter : chaînes Règles de filtrage placées dans des chaînes Chaîne : sous-programme Règles de filtrage : instructions Une des 3 chaînes standards est obligatoirement traversée : INPUT : paquets à destination de la machine locale OUTPUT : paquets émis par la machine locale FORWARD : paquets transitant par la machine locale Incoming / \ Outgoing -->[Routing ]---> FORWARD > [Decision] \ / ˆ v / \ / \ OUTPUT INPUT \ / \ / ˆ ----> Local Process ---- (c) 2002 Rusty Russell Firewalls libres : netfilter, IP Filter et Packet Filter p.8

52 netfilter : règles de filtrage Règles de filtrage Selection du trafic Cible à atteindre Cibles Classiques ACCEPT : paquet accepté DROP : paquet rejeté de façon silencieuse REJECT : paquet rejeté en informant l émetteur RETURN fin du parcours d une chaîne utilisateur cible par défaut dans les chaînes INPUT, OUTPUT ou FORWARD Journalisation LOG : paquet journalisé Extension du filtrage QUEUE redirection du paquet vers une application en mode utilisateur la décision de filtrage est prise par l application Firewalls libres : netfilter, IP Filter et Packet Filter p.9 netfilter : critères de filtrage Critères de filtrage classiques IP, TCP, UDP, ICMP Spécification des interfaces réseau Chaîne INPUT : interface d entrée Chaîne OUTPUT : interface de sortie Chaîne FORWARD : interfaces d entrée et de sortie Critères de filtrages moins classiques Filtrage par adresses MAC Filtrage sur l origine d un paquet local uid, gid, pid, sid du processus émetteur Firewalls libres : netfilter, IP Filter et Packet Filter p.10

53 netfilter : filtrage à états Protocoles TCP, UDP et ICMP Options permettant de comparer le trafic aux états NEW : création d un nouvel état ESTABLISHED : paquet appartenant à une communication en cours RELATED : paquet lié à une communication en cours Message ICMP d erreur Trafic lié au fonctionnement d un protocole applicatif INVALID : paquet non-identifié parmi les communications en cours Stratégie Créer un état au début de communication avec NEW Accepter les paquets liés aux communications en cours ESTABLISHED RELATED Firewalls libres : netfilter, IP Filter et Packet Filter p.11 netfilter : écriture de règles Règles Options du programme iptables Evaluation Parcourues depuis le début de la chaîne Arrêt du parcours en cas de correspondance d une règle Politique par défaut en fin des chaînes standards Retour à la chaîne parente en fin des chaînes utilisateurs Chaînes utilisateurs Possibilité de créer de nouvelles chaînes Améliore l efficacité du filtrage Regroupe des règles liées à un même type de trafic Chaînes Placer une politique par défaut pour les chaînes standards Ajouter les règles en fin de chaîne Firewalls libres : netfilter, IP Filter et Packet Filter p.12

54 netfilter : exemple IFACE=eth0 MYLAN= MYWKS= MYDNS= MYADDR= # vide les chaînes standards iptables --flush # chaînes standards bloquent par défaut iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -P FORWARD DROP # Filtrage à états iptables -A OUTPUT -i $IFACE -m state --state ESTABLISHED, RELATED -j ACCEPT iptables -A INPUT -i $IFACE -m state --state ESTABLISHED, RELATED -j ACCEPT # Administration par SSH iptables -A INPUT -i $IFACE -p tcp -s $MYWKS --sport 1024: d $MYADDR --dport 22 \ -m state --state NEW -j ACCEPT # Résolution DNS iptables -A OUTPUT -i $IFACE -p udp -s $MYADDR --sport 1024: d $MYDNS --dport 53 \ -m state --state NEW -j ACCEPT # Surveillance avec ping(1) iptables -A OUTPUT -i $IFACE -p icmp -s $MYADDR --icmp-type echo-request -d $MYLAN \ -m state --state NEW -j ACCEPT Firewalls libres : netfilter, IP Filter et Packet Filter p.13 IP Filter : généralités Fonctionnement Ordre 1. Filtrage en entrée 2. Traitement TCP/IP du noyau 3. Filtrage en sortie Schéma Règles avalon/ipfil-flow.html Spécifiées dans un fichier de configuration Syntaxe aisément compréhensible Possibilité de créer des groupes de règles Regroupement de règles portant sur un même type de trafic Mot clés head et group Deux jeux de règles possibles Actif Inactif Firewalls libres : netfilter, IP Filter et Packet Filter p.14

55 IP Filter : règles de filtrage Évaluation des règles Lues dans l ordre du fichier Celle qui s applique est la dernière Mot clé quick permet d arrêter le parcours des règles Filtrage à états keep frags autorise les fragments d un paquet en cours de réassemblage keep state autorise les paquets appartenant à une communication en cours Règles ne sont pas évaluées si le filtrage à états valide un datagramme Journalisation Option log au niveau d une règle Programme ipmon(8), journalisation via syslogd(8) Firewalls libres : netfilter, IP Filter et Packet Filter p.15 IP Filter : exemple ipf.conf # Administration par SSH pass in on xl0 proto tcp from port > 1023 to port = 22 \ flags S/SA keep state # Résolution DNS pass out on xl0 proto udp from port > 1023 to port = 53 \ keep state # Administraton avec ping(1) pass out on xl0 proto icmp from icmp-type echo to /24 \ keep state block in on xl0 all block out on xl0 all Chargement des règles ipf -Fa -f /etc/ipf.conf Statistiques ipfstat Firewalls libres : netfilter, IP Filter et Packet Filter p.16

56 Packet Filter : généralités Historique Nouveau filtre de paquets pour OpenBSD 3.0 Mêmes fonctionnalités qu IP Filter Maintenu par les développeurs de l équipe d OpenBSD Fonctionnalités nouvelles Normalisation des paquets Protège les piles TCP/IP fragiles contre des paquets anormaux Vérifie et supprime certaines anomalies dans les en-têtes Réassemble les fragments Action scrub Renforcement des numéros de séquences initiaux (ISN) TCP Pour des systèmes dont les ISNs sont prévisibles car trop peu aléatoires Option modulate state Ponts filtrants Ponts Ethernet en standard sous OpenBSD : bridge(4) Filtrage sur l une des interfaces avec Packet Filter Firewalls libres : netfilter, IP Filter et Packet Filter p.17 Packet Filter : règles de filtrage Règles Syntaxe très proche de celle d IP Filter Sucre syntaxique pour écrire des règles de façon plus synthétique Ensembles (sets) regroupant des listes d attributs Définition et expansion de variables Même mode d évaluation qu IP Filter Journalisation Option log au niveau d une règle Paquets journalisés sur l interface pflog0 Journalisation au format tcpdump(8) avec pflogd(8) Différences avec IP Filter Ordre des règles optimisée à la volée Options head et group inutiles et non-supportées Gestion des fragments option keep frags remplacé par la directive scrub Firewalls libres : netfilter, IP Filter et Packet Filter p.18

57 Packet Filter : exemple # Extrait de la section 6 de la FAQ d OpenBSD # # # Define useful variables ExtIF="fxp0" # External Interface IntNet=" /24" # Our internal network NoRouteIPs="{ /8, /16, /12, /8 }" Services="{ www, https }" # Clean up fragmented and abnormal packets scrub in all # don t allow anyone to spoof non-routeable addresses block in quick on $ExtIF from $NoRouteIPs to any block out quick on $ExtIF from any to $NoRouteIPs # only allow our machines to connect via ssh pass in quick on $ExtIF inet proto tcp from $IntNet to any port = 22 # allow others to use http and https pass in quick on $ExtIF inet proto tcp from any to any port $Services flags S/SA # finally lock the rest down with a default deny block in quick on $ExtIF from any to any # and let out-going traffic out and maintain state on established connections pass out on $ExtIF from any to any keep state Firewalls libres : netfilter, IP Filter et Packet Filter p.19 netfilter/iptables Références : netfilter HOWTO Networking Concepts HOWTO Packet Filtering HOWTO NAT HOWTO Les caractéristiques de netfilter sous Linux 2.4 Firewalls libres : netfilter, IP Filter et Packet Filter p.20

58 IP Filter Références : IP Filter Pages de manuel FreeBSD et NetBSD ipf(5), ipf(8) IP Filter HOWTO Traduction française par IDEALX : Fonctionnalités avancées (des règles) d ipfilter Présentation de IP Filter à la BSDCON Firewalls libres : netfilter, IP Filter et Packet Filter p.21 Références : Packet Filter OpenBSD Packet Filter Pages de manuel OpenBSD pf.conf(5), pfctl(8) Section 6 de la FAQ OpenBSD The OpenBSD Packet Filter HOWTO Traduction française par IDEALX : Firewalls libres : netfilter, IP Filter et Packet Filter p.22

59 Gestion des certificats Linux-Expo Paris 1er Février 2002 Franck Davy Hervé Schauer Consultants <http://www.hsc.fr/> Plan Introduction Format des certificats X.509 Gestion du cycle de vie Exemples d utilisation Exemple de PKI Opensource : IDX-PKI, par IDEAL X

60 Introduction Format des certificats X.509

61 Format des certificats X.509 (1/2) Historique Norme ITU-T X.509 (recommandations X.500) Version 1 (1988) : définition des champs de base Version 2 (1993) : 2 champs optionnels Version 3 (1996) : extensions (notion de criticité) Description ASN.1 (Abstract Syntax Notation 1) Syntaxe abstraite normalisée (X.208) Syntaxe de transfert unique Règles de codage distinctives DER PEM : DER en base64 Exemple : Certificate ::= SEQUENCE { TBSCertificate ::= SEQUENCE { tbscertificate TBSCertificate, version [0] EXPLICIT Version DEFAULT v1, signaturealgorithm AlgorithmIdentifier, serialnumber CertificateSerialNumber, signaturevalue BIT STRING } signature AlgorithmIdentifier, issuer Name, validity Validity, subject Name, subjectpublickeyinfo SubjectPublicKeyInfo, issueruniqueid [1] IMPLICIT UniqueIdentifier OPTIONAL, -- If present, version shall be v2 or v3 subjectuniqueid [2] IMPLICIT UniqueIdentifier OPTIONAL, -- If present, version shall be v2 or v3 extensions [3] EXPLICIT Extensions OPTIONAL Format des certificats X.509 (2/2) Certificate: Data: Version: 3 (0x2) Serial Number: 0 (0x0) Signature Algorithm: sha1withrsaencryption Issuer: C=FR, O=FOO, CN=FOO CA Validity Not Before: Jun 30 0:00: GMT Not After : Jun 30 23:59: GMT Subject: C=FR, O=FOO, CN=FOO CA Subject Public Key Info: Public Key Algorithm: rsaencryption RSA Public Key: (2048 bit) Modulus (2048 bit): af:07:f2:91:b2:da:8d:ca:8c:5f:7c:28:3c:7c:89: [...] 6c:06 Exponent: (0x10001) X509v3 extensions: X509v3 Basic Constraints: CA:TRUE, pathlen:4 X509v3 Key Usage: Certificate Sign, CRL Sign X509v3 CRL Distribution Points: URI:http://bar/crl/foobar.crl Signature Algorithm: sha1withrsaencryption 04:6e:50:ee:7b:4a:01:02:63:bf:42:36:d6:be:0c:fe:22:0c: [...] 94:d6:aa

62 Extensions X.509 (v3) (1/2) Notion de criticité d une extension Contraintes d utilisation Clé publique de chiffrement/signature/échange de clé Exigences de sécurité Mécanisme de recouvrement Service de non répudiation Contraintes sur l itinéraire de certification Longueur maximale de la chaîne de certification Informations diverses Points de publication Listes de révocation Serveur OCSP Politique de certification Extensions propriétaires Extensions X.509 (v3) (2/2) Itinéraire de certification X509v3 Basic Constraints: CA:TRUE, pathlen:10 Recommandations d usage de la clé publique X509v3 Key Usage: Certificate Sign, CRL Sign X509v3 Extended Key Usage: TLS Web Client Authentication, Protection Points de publication Listes de révocation X509v3 CRL Distribution Points: URI:http://crl/ac.crl DNS:ldap.crl.com DirName:/C=FR/O=/OU=AC/CN=CRL Serveur OCSP Authority Information Access: OCSP - URI:http://ocsp/ Politique de certification X509v3 Certificate Policies: Policy: CPS: https://foobar/cps User Notice: Explicit Text: FOOBAR s CPS

63 Profil PKIX Description Groupe de travail IETF (1995) Objectif : développer pour l internet une PKI fondée sur les certificats X.509 Composantes Instanciation des certificats X.509v3 et des listes de révocations X.509 pour une infrastructure adaptée à l Internet [RFC2459] Protocoles d exploitation [RFC2559, RFC2585] Distributions des certificats et listes de révocation. Protocoles de gestion [RFC2510] Dialogues entre le différentes entités de la PKI. Règles d usage et considérations pratiques [RFC2527] Exigences de sécurité En matière d identification des sujets, de révocation des certificats Infrastructure générale C e < > End entity r Operational t transactions ^ and management Management / transactions transactions PKI users C v R L ^ ^ PKI management v entities R e < RA <---+ p Publish certificate o s I v v t o < CA r Publish certificate y Publish CRL ^ Management transactions v CA Gestion du cycle de vie RFC 2459 : 3 Overview of Approach

64 Cycle de vie : Création / Révocation (1/5) OpenSSL Version stable : 0.9.6c (21/12/2001) Snapshot : ftp://ftp.openssl.org/snapshot/ openssl(1) Génération du bi-clé genrsa(1), gendsa(1), gendh(1) $ openssl genrsa -out cert.key -des Bi-clé RSA de 2048 bits, chiffré 3DES-CBC Format PEM [RFC1421] -----BEGIN RSA PRIVATE KEY----- Proc-Type: 4,ENCRYPTED DEK-Info: DES-EDE3-CBC,B C4F58986 HEtRjSj9kJcQvvYg9ZtXYLc658zyrtFNTE+1/KHJ+TWJVNjfoW6gKmen96nlEZVs [...] CWD2hdXv+BoLN2JA3XQXJ0vZro+WJlP2MprbweVmVMFetrIWWAzn8Qf2z0FnPxyb -----END RSA PRIVATE KEY----- Cycle de vie : Création / Révocation (2/5) Génération de la demande de certificat req(1) $ openssl req -new (-x509) -key cert.key -out req.csr -config./openssl.cnf You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter., the field will be left blank Pays [FR]: Localite (e.g. Ville) [Levallois-Perret]: Organisation [Herve Schauer Consultants]: Nom ou URL []:Franck Davy Adresse Challenge []:secret Bi-clé généré localement Support : disque dur, carte à puce, carte PCMCIA (openssl-engine) Transmission de la demande à l autorité d enregistrement Validation : vérification "hors-bande" du challenge Signature par l autorité de certification Publication dans un annuaire

65 Cycle de vie : Création / Révocation (3/5) Extrait du fichier openssl.cnf : [ v3_req ] basicconstraints = CA:FALSE keyusage = nonrepudiation, digitalsignature, keyencipherment Demande de certificat : Certificate Request: Data: Version: 0 (0x0) Subject: C=FR, ST=Ile-de-France, L=Levallois-Perret, O=Herve Schauer Consultants, CN=Franck Subject Public Key Info: Public Key Algorithm: rsaencryption RSA Public Key: (1024 bit) Modulus (1024 bit): 00:c4:b9:c2:8f:93:f8:1e:5c:ed:e3:a9:c6:de:ea: [...] a5:ba:c1:b2:cb:43:34:aa:47 Exponent: (0x10001) Attributes: Requested Extensions: X509v3 Basic Constraints: CA:FALSE X509v3 Key Usage: Digital Signature, Non Repudiation, Key Encipherment Signature Algorithm: md5withrsaencryption 11:89:4d:74:59:3a:c4:07:c2:50:e4:e9:80:54:a7:c3:d3:6c: [...] 95:64 Cycle de vie : Création / Révocation (4/5) Signature de la demande de certificat $ openssl ca -config./openssl.cnf -extensions CLIENT_RSA_SSL -infiles req.crs -out client.pem Using configuration from openssl.cnf Enter PEM pass phrase: Check that the request matches the signature Signature ok The Subjects Distinguished Name is as follows countryname :PRINTABLE: FR stateorprovincename :PRINTABLE: Ile-de-France organizationname :PRINTABLE: Herve Schauer Consultants commonname :PRINTABLE: Franck Davy address :IA5STRING: challengepassword :PRINTABLE: secret Certificate is to be certified until Jun 30 23:59: GMT (365 days) Sign the certificate? [y/n]:y 1 out of 1 certificate requests certified, commit? [y/n]y Write out database with 1 new entries Data Base Updated

66 Cycle de vie : Création / Révocation (5/5) Révocation d un certificat $ openssl ca -config./openssl.cnf -revoke client.pem Enter PEM pass phrase: Revoking Certificate 04. Data Base Updated $ openssl ca -config./openssl.cnf -gencrl -crldays 30 Enter PEM pass phrase: -----BEGIN X509 CRL----- MIIBaDCB0jANBgkqhkiG9w0BAQQFADB5MQswCQYDVQQGEwJGUjEWMBQGA1UECBMN [...] 3w2288WnwoBuJWkdoQpvFM3FtjI9iqczebqL6g== -----END X509 CRL----- Certificate Revocation List (CRL): Version 1 (0x0) Signature Algorithm: md5withrsaencryption Issuer: /C=FR/L=Levallois-Perret/O=Herve Schauer Consultants/CN=CA SSL Last Update: Jul 30 23:59: GMT Next Update: Aug 30 23:59: GMT Revoked Certificates: Serial Number: 04 Revocation Date: Jun 28 12:49: GMT Signature Algorithm: md5withrsaencryption 2d:5f:0e:74:5e:1c:98:a5:f7:da:9c:20:06:ad:cd:72:a2:72: [...] 8b:ea Cycle de vie : Publication (1/3) Publication des : Certificats des autorités de certification/révocation Certificats des Entités terminales Listes de Révocation Publication via LDAP : Schema core : objectclass certificationauthority ( ) Attributs : authorityrevocationlist, cacertificate, certificaterevocationlist Schema inetorgperson : objectclass inetorgperson ( ) Attribut : usercertificate dn: cn=cdp, o=ca, c=fr certificaterevocationlist;binary:: MIIBJjCBkgIBATANBgkqhkiG9w0BAQUFADBBMQswCQY [...] tsyl7hmtqh/0z2hhjv63yek1hljuj4s//53cwnzfym+607g== certificaterevocationlist;base64:: TUlJQkpqQ0JrZ0lCQVRBTkJna3Foa2lHOXcwQkFRVUZ [...] BREJCTVFzd0NRWURWUVFHRXdKR1VqRVRNQkVHQTFVRQpDaE1LUTJWeWRHbE9iMjFwY3pFZE1Cc0dB objectclass: top objectclass: crldistributionpoint cn: CDP LDAP-Implementation-HOWTO Passerelle HTTP/LDAP :

67 Cycle de vie : Publication (2/3) Publication via HTTP : Types MIME [RFC2585].cer application/pkix-cert.crl application/pkix-crl Autres.cer application/x-x509-ca-cert.crl application/pkcs-crl.crt application/pkix-cert.crt application/x-x509-ca-cert.crt application/x-x509-user-cert Certificats et listes de révocation au format PEM Format et extensions Extension crldistributionpoints X509v3 CRL Distribution Points: URI:http://bar/crl/foobar.crl Fichier openssl.cnf (extensions req ou ca) crldistributionpoints [crl_dp] URI.1 = URI.2 = Cycle de vie : Publication (3/3) Vérification via OCSP Validation en ligne via interrogation d un serveur OCSP Requête HTTP avec méthode POST Format et extensions Extension authorityinfoaccess ( ) Authority Information Access: OCSP - URI:http://foobar/ Fichier openssl.cnf (extensions req ou ca) authorityinfoaccess = OCSP;URI:http://foobar/

68 Exemples d utilisation et Démonstrations Exemple de PKI Opensource : IDX-PKI, par IDEAL X <http://idx-pki.idealx.org/>

Les firewalls libres : netfilter, IP Filter et Packet Filter

Les firewalls libres : netfilter, IP Filter et Packet Filter Les firewalls libres : netfilter, IP Filter et Packet Filter Linux Expo Paris 1er Février 2002 Jean-Baptiste Marchand Jean-Baptiste.Marchand@hsc.fr Hervé Schauer Consultants Firewalls libres : netfilter,

Plus en détail

Principales applications de Linux en sécurité

Principales applications de Linux en sécurité Principales applications de Linux en sécurité Journée du Logiciel Libre Montpellier - 22 Novembre 2002 Denis Ducamp Hervé Schauer Consultants - http://www.hsc.fr/ (c) 1998-2002 Hervé Schauer Consultants

Plus en détail

Tunnels et VPN. 20/02/2008 Formation Permanente Paris6 86. Sécurisation des communications

Tunnels et VPN. 20/02/2008 Formation Permanente Paris6 86. Sécurisation des communications Tunnels et VPN 20/02/2008 Formation Permanente Paris6 86 Sécurisation des communications Remplacement ou sécurisation de tous les protocoles ne chiffrant pas l authentification + éventuellement chiffrement

Plus en détail

LINUX - Sécurité. Déroulé de l'action. - 3 jours - Contenu de formation

LINUX - Sécurité. Déroulé de l'action. - 3 jours - Contenu de formation Objectif : Tout administrateur système et réseau souhaitant avoir une vision d'ensemble des problèmes de sécurité informatique et des solutions existantes dans l'environnement Linux. Prérequis : Connaissance

Plus en détail

Cible de sécurité CSPN

Cible de sécurité CSPN Cible de sécurité CSPN Dropbear 2012.55 Ref 12-06-037-CSPN-cible-dropbear Version 1.0 Date June 01, 2012 Quarkslab SARL 71 73 avenue des Ternes 75017 Paris France Table des matières 1 Identification 3

Plus en détail

ModSecurity. Cible de sécurité CSPN Version 0.96

ModSecurity. Cible de sécurité CSPN Version 0.96 Cible de sécurité CSPN Version 0.96 TABLE DES MATIERES 1 IDENTIFICATION... 3 1.1 IDENTIFICATION DE LA CIBLE DE SECURITE... 3 1.2 IDENTIFICATION DU PRODUIT... 3 2 ARGUMENTAIRE (DESCRIPTION) DU PRODUIT...

Plus en détail

Expérience d un hébergeur public dans la sécurisation des sites Web, CCK. Hinda Feriani Ghariani Samedi 2 avril 2005 Hammamet

Expérience d un hébergeur public dans la sécurisation des sites Web, CCK. Hinda Feriani Ghariani Samedi 2 avril 2005 Hammamet Expérience d un hébergeur public dans la sécurisation des sites Web, CCK Hinda Feriani Ghariani Samedi 2 avril 2005 Hammamet Plan Introduction Sécurisation des sites Web hébergés a Conclusion Introduction

Plus en détail

Master d'informatique. Réseaux. Proxies et filtrage applicatif

Master d'informatique. Réseaux. Proxies et filtrage applicatif Master d'informatique Réseaux Proxies et filtrage applicatif Bureau S3-354 mailto:jean.saquet@info.unicaen.fr http://www.info.unicaen.fr/~jean/radis Proxy applicatif Un proxy, ou serveur mandataire, relaie

Plus en détail

Sécurité et Firewall

Sécurité et Firewall TP de Réseaux IP pour DESS Sécurité et Firewall Auteurs: Congduc Pham (Université Lyon 1), Mathieu Goutelle (ENS Lyon), Faycal Bouhafs (INRIA) 1 Introduction: les architectures de sécurité, firewall Cette

Plus en détail

Sécurité des réseaux Firewalls

Sécurité des réseaux Firewalls Sécurité des réseaux Firewalls A. Guermouche A. Guermouche Cours 1 : Firewalls 1 Plan 1. Firewall? 2. DMZ 3. Proxy 4. Logiciels de filtrage de paquets 5. Ipfwadm 6. Ipchains 7. Iptables 8. Iptables et

Plus en détail

WWW.MELDANINFORMATIQUE.COM

WWW.MELDANINFORMATIQUE.COM Solutions informatiques Procédure Sur Comment créer un premier Site SharePoint 2010 Historique du document Revision Date Modification Autor 3 2013-04-29 Creation Daniel Roy 1. But.4 2. Configuration..4

Plus en détail

ZABBIX est distribué sous licence GNU General Public License Version 2 (GPL v.2).

ZABBIX est distribué sous licence GNU General Public License Version 2 (GPL v.2). Nom du projet : Zabbix Description : ZABBIX est un logiciel open source créé par Alexei Vladishev. Zabbix permet de surveiller le statut de divers services réseau, serveurs et autres matériels réseau.

Plus en détail

S E C U R I N E T S C l u b d e l a s é c u r i t é i n f o r m a t i q u e I N S A T. Atelier IDS. Snort. Outil de Détection d intrusion

S E C U R I N E T S C l u b d e l a s é c u r i t é i n f o r m a t i q u e I N S A T. Atelier IDS. Snort. Outil de Détection d intrusion Atelier IDS Snort Outil de Détection d intrusion Introduction Les systèmes de détection d intrusion ou IDS pour (Intrusion Detection System) sont indispensables pour la sécurité du réseau, ils permettent

Plus en détail

SÉCURISER UN SYSTÈME LINUX/UNIX

SÉCURISER UN SYSTÈME LINUX/UNIX Réseaux et Sécurité SÉCURISER UN SYSTÈME LINUX/UNIX Réf: SRX Durée : 3 jours (7 heures) OBJECTIFS DE LA FORMATION Ce stage très pratique et technique vous montrera comment sécuriser des serveurs Linux,

Plus en détail

Accès au serveur SQL. Où ranger les accès au serveur SQL?

Accès au serveur SQL. Où ranger les accès au serveur SQL? 150 requête SQL, cela aura un impact sur un nombre limité de lignes et non plus sur l ensemble des données. MySQL propose une clause originale en SQL : LIMIT. Cette clause est disponible avec les différentes

Plus en détail

LOSLIER Mathieu IR1 31 Mai 2011. Rapport TP Firewall

LOSLIER Mathieu IR1 31 Mai 2011. Rapport TP Firewall Rapport TP Firewall 1 Table des matières Rapport TP Firewall... 1 Introduction... 3 1. Plate-forme de sécurité étudiée... 3 2. Routage classique... 3 2.1 Mise en œuvre du routage classique... 4 2.2 Configuration

Plus en détail

Exemple d intrusion dans un réseau

Exemple d intrusion dans un réseau Exemple d intrusion dans un réseau Cédric Blancher - blancher@cartel-info.fr Daniel Polombo - polombo@cartel-info.fr 11 décembre 2001 Plan 1 Introduction et présentation du réseau ciblé Pénétration du

Plus en détail

Figure 1a. Réseau intranet avec pare feu et NAT.

Figure 1a. Réseau intranet avec pare feu et NAT. TD : Sécurité réseau avec Pare Feu, NAT et DMZ 1. Principes de fonctionnement de la sécurité réseau Historiquement, ni le réseau Internet, ni aucun des protocoles de la suite TCP/IP n était sécurisé. L

Plus en détail

Travaux Pratiques R&T 2 ème année Durée : 3 heures TP R2b SECURITE RESEAUX Sécurité des services. Objectifs du TP

Travaux Pratiques R&T 2 ème année Durée : 3 heures TP R2b SECURITE RESEAUX Sécurité des services. Objectifs du TP Travaux Pratiques R&T 2 ème année Durée : 3 heures TP R2b SECURITE RESEAUX Sécurité des services Noms : Rabenjamina Solohaja et Tharic Faris Groupe : 5 Date : 21/11/2014 Objectifs du TP - Installation

Plus en détail

Netfilter & Iptables. Théorie Firewall. Autoriser le trafic entrant d'une connexion déjà établie. Permettre le trafic entrant sur un port spécifique

Netfilter & Iptables. Théorie Firewall. Autoriser le trafic entrant d'une connexion déjà établie. Permettre le trafic entrant sur un port spécifique Page 1 sur 5 Article original traduit par Kmeleon, refonte de eks. Provenant de ubuntu-fr.org Netfilter & Iptables Netfilter est un module du noyau Linux (depuis la version 2.4) qui offre la possibilité

Plus en détail

TP4 : Firewall IPTABLES

TP4 : Firewall IPTABLES Module Sécurité TP4 : Firewall IPTABLES Ala Rezmerita François Lesueur Le TP donnera lieu à la rédaction d un petit fichier texte contenant votre nom, les réponses aux questions ainsi que d éventuels résultats

Plus en détail

Proxy et reverse proxy. Serveurs mandataires et relais inverses

Proxy et reverse proxy. Serveurs mandataires et relais inverses Serveurs mandataires et relais inverses Qu'est-ce qu'un proxy? Proxy = mandataire (traduction) Un proxy est un service mandataire pour une application donnée. C'est à dire qu'il sert d'intermédiaire dans

Plus en détail

installation et configuration de systèmes TR ACADÉMIE D ORLÉANS-TOURS

installation et configuration de systèmes TR ACADÉMIE D ORLÉANS-TOURS LP CHATEAU BLANC 45 CHALETTE/LOING BAC PRO SEN TR THÈME : CONFIGURATION D UN SERVEUR TP N 4 LINUX A DISTANCE ACADÉMIE D ORLÉANS-TOURS NOM : CI 11 : INSTALLATION ET CONFIGURATION DE SYSTEMES TR OBJECTIFS

Plus en détail

La sécurité des Réseaux Partie 6.1 Les pare-feus

La sécurité des Réseaux Partie 6.1 Les pare-feus La sécurité des Réseaux Partie 6.1 Les pare-feus Fabrice Theoleyre Enseignement : INSA Lyon / CPE Recherche : Laboratoire CITI / INSA Lyon Références F. Ia et O. Menager, Optimiser et sécuriser son trafic

Plus en détail

Les solutions de paiement CyberMUT (Crédit Mutuel) et P@iement CIC. Qui contacter pour commencer la mise en place d une configuration de test?

Les solutions de paiement CyberMUT (Crédit Mutuel) et P@iement CIC. Qui contacter pour commencer la mise en place d une configuration de test? Les solutions de paiement CyberMUT (Crédit Mutuel) et P@iement CIC Qui contacter pour commencer la mise en place d une configuration de test? CyberMUT Paiement - Paiement CIC Commerce Electronique mailto:centrecom@e-i.com

Plus en détail

Objectif des gardes barrières. Barrière de Sécurité. Pare-feu. Pare-feu. Types de Pare-feu. Une vue d'ensemble

Objectif des gardes barrières. Barrière de Sécurité. Pare-feu. Pare-feu. Types de Pare-feu. Une vue d'ensemble ASR4 réseaux Barrière de Sécurité Introduction Serveur de proximité, pare-feu IP, filtrage, architecture 1 Objectif des gardes barrières Protéger un environnement (vis à vis de l extérieur et de l intérieur)

Plus en détail

Les Attaques en Réseau sous Linux

Les Attaques en Réseau sous Linux Les Attaques en Réseau sous Linux Plan Introduction Partie 1: ARP Spoofing Partie 2: Outils de simulation. Partie 3: Démonstration de l attaque.. Partie 4: Prévention et détection de l attaque. Partie

Plus en détail

MANUEL D INSTALLATION D UN PROXY

MANUEL D INSTALLATION D UN PROXY MANUEL D INSTALLATION D UN PROXY Squid, SquidGuard, Dansguardian Dans ce guide on va détailler l installation et la configuration d une solution proxy antivirale en utilisant les outils ; squid, dansguardian,

Plus en détail

Sécurité des bases de

Sécurité des bases de HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet CLUSIR-EST Sécurité des bases de données Louis Nyffenegger Louis Nyffenegger

Plus en détail

Présentation du relais HTTP Open Source Vulture. Arnaud Desmons Jérémie Jourdin

Présentation du relais HTTP Open Source Vulture. Arnaud Desmons <ads@intrinsec.com> Jérémie Jourdin <jjn@intrinsec.com> Arnaud Desmons Jérémie Jourdin Présentation Motivations Historique Démonstration Présentation fonctionnelle Présentation technique L'interface d'administration Roadmap

Plus en détail

Formation A2IMP. Acquisition d information sur les autres équipements du réseau. Frédéric Bongat IPSL Formation A2IMP 1

Formation A2IMP. Acquisition d information sur les autres équipements du réseau. Frédéric Bongat IPSL Formation A2IMP 1 Formation A2IMP Acquisition d information sur les autres Frédéric Bongat IPSL Formation A2IMP 1 Idée : corréler des informations via d autres Informations de base Connaître l horodatage (date, heure) des

Plus en détail

User Manual Version 3.6 Manuel de l Utilisateur Version 2.0.0.0

User Manual Version 3.6 Manuel de l Utilisateur Version 2.0.0.0 User Manual Version 3.6 Manuel de l Utilisateur Version 2.0.0.0 User Manuel Manual de l Utilisateur I EasyLock Manuel de l Utilisateur Table des Matières 1. Introduction... 1 2. Configuration Requise...

Plus en détail

Malgré le cryptage effectué par le système, la sécurité d un système unix/linux repose aussi sur une bonne stratégie dans le choix du mot de passe :

Malgré le cryptage effectué par le système, la sécurité d un système unix/linux repose aussi sur une bonne stratégie dans le choix du mot de passe : 0.1 Sécuriser une machine Unix/linux 0.2 Différencier les comptes Créer un compte administrateur et un compte utilisateur, même sur une machine personnelle. Toujours se connecter sur la machine en tant

Plus en détail

FILTRAGE de PAQUETS NetFilter

FILTRAGE de PAQUETS NetFilter TP RESEAUX MMI Semestre 3 FILTRAGE de PAQUETS NetFilter OBJECTIF : Introduction à Netfilter. Configuration d'un firewall. MATERIELS : (Machines Virtuelles) 1 Serveur Debian avec apache d'installé, 1 Poste

Plus en détail

Configurer un pare-feu avec NETFILTER

Configurer un pare-feu avec NETFILTER Configurer un pare-feu avec NETFILTER Netfilter est le firewall des distributions linux récentes pris en charge depuis les noyaux 2.4. Il est le remplaçant de ipchains. La configuration se fait en grande

Plus en détail

Microsoft Dynamics. Installation de Management Reporter for Microsoft Dynamics ERP

Microsoft Dynamics. Installation de Management Reporter for Microsoft Dynamics ERP Microsoft Dynamics Installation de Management Reporter for Microsoft Dynamics ERP Date : mai 2010 Table des matières Introduction... 3 Présentation... 3 Configuration requise... 3 Installation de Management

Plus en détail

Introduction...3. Objectif...3. Manipulations...3. Gestion des utilisateurs et des groupes...4. Introduction...4. Les fichiers de base...

Introduction...3. Objectif...3. Manipulations...3. Gestion des utilisateurs et des groupes...4. Introduction...4. Les fichiers de base... Système d'exploitation Sommaire Introduction...3 Objectif...3 Manipulations...3 Gestion des utilisateurs et des groupes...4 Introduction...4 Les fichiers de base...4 Quelques commandes d'administration...5

Plus en détail

Le filtrage de niveau IP

Le filtrage de niveau IP 2ème année 2008-2009 Le filtrage de niveau IP Novembre 2008 Objectifs Filtrage : Le filtrage permet de choisir un comportement à adopter vis à vis des différents paquets émis ou reçus par une station.

Plus en détail

Squid Intégrez un proxy à votre réseau d'entreprise

Squid Intégrez un proxy à votre réseau d'entreprise Avant-propos 1. Introduction 7 2. À qui s'adresse ce livre? 8 3. Structure du livre 8 Les principes de base d un serveur cache 1. Pourquoi un serveur mandataire? 11 2. Le principe d'un serveur mandataire-cache

Plus en détail

Administration réseau. Architecture réseau et Sécurité

Administration réseau. Architecture réseau et Sécurité Administration réseau Architecture réseau et Sécurité Pourquoi la sécurité? Maladroits, pirates, plaisantins et autres malveillants Protéger ce qu'on a à protéger Continuer à fonctionner Responsabilité

Plus en détail

Architecture client/serveur

Architecture client/serveur Architecture client/serveur Table des matières 1. Principe du client/serveur...2 2. Communication client/serveur...3 2.1. Avantages...3 2.2. Inconvénients...3 3. HTTP (HyperText Transfer Protocol)...3

Plus en détail

SISR3- Mise à disposition d une application web sécurisée

SISR3- Mise à disposition d une application web sécurisée Contexte : Le laboratoire pharmaceutique Galaxy-Swiss Bourdin (GSB) désire mettre à disposition des visiteurs médicaux une application Web de gestion des frais de remboursement. Il souhaite disposer d'une

Plus en détail

Etat des lieux de la sécurité dans Windows XP. Nicolas RUFF nicolas.ruff@edelweb.fr

Etat des lieux de la sécurité dans Windows XP. Nicolas RUFF nicolas.ruff@edelweb.fr Etat des lieux de la sécurité dans Windows XP Améliorations et écueils Nicolas RUFF nicolas.ruff@edelweb.fr page 1 Ordre du jour Authentification Réseau Stratégies de groupe Fichiers Noyau Support Autres

Plus en détail

Logiciels libres et sécurité

Logiciels libres et sécurité Logiciels libres et sécurité Frédéric Schütz, PhD schutz@mathgen.ch Groupe romand des Utilisateurs de Linux et Logiciels Libres http://www.linux gull.ch/ Une image négative reste liée à Linux, celle des

Plus en détail

Sécurité avancée des réseaux Filtrage des paquets. IUT d Auxerre Département RT 2 ème année 2013-2014 ZHANG Tuo tuo.zhang@u-bourgogne.

Sécurité avancée des réseaux Filtrage des paquets. IUT d Auxerre Département RT 2 ème année 2013-2014 ZHANG Tuo tuo.zhang@u-bourgogne. Sécurité avancée des réseaux Filtrage des paquets IUT d Auxerre Département RT 2 ème année 2013-2014 ZHANG Tuo tuo.zhang@u-bourgogne.fr Outline Pare-feu & Filtre de Confiance Filtrage de paquets Pare-feu

Plus en détail

Plan. Les pare-feux (Firewalls) Chapitre II. Introduction. Notions de base - Modèle de référence OSI : 7 couches. Introduction

Plan. Les pare-feux (Firewalls) Chapitre II. Introduction. Notions de base - Modèle de référence OSI : 7 couches. Introduction Plan Introduction Chapitre II Les pare-feux (Firewalls) Licence Appliquée en STIC L2 - option Sécurité des Réseaux Yacine DJEMAIEL ISET Com Notions de base relatives au réseau Définition d un pare-feu

Plus en détail

Travaux Pratiques R&T 2 ème année Durée : 3 heures TP R2b SECURITE RESEAUX Sécurité des services. Objectifs du TP

Travaux Pratiques R&T 2 ème année Durée : 3 heures TP R2b SECURITE RESEAUX Sécurité des services. Objectifs du TP Noms : BAUD - CARRETTE Groupe : TP3 Date : 11/01/12 Travaux Pratiques R&T 2 ème année Durée : 3 heures TP R2b SECURITE RESEAUX Sécurité des services Objectifs du TP - Installation et configuration d'un

Plus en détail

Alexis Lechervy Université de Caen. M1 Informatique. Réseaux. Filtrage. Bureau S3-203 mailto://alexis.lechervy@unicaen.fr

Alexis Lechervy Université de Caen. M1 Informatique. Réseaux. Filtrage. Bureau S3-203 mailto://alexis.lechervy@unicaen.fr M1 Informatique Réseaux Filtrage Bureau S3-203 mailto://alexis.lechervy@unicaen.fr Sécurité - introduction Au départ, très peu de sécurité dans les accès réseaux (mots de passe, voyageant en clair) Avec

Plus en détail

Chapitre 2 Accès aux partages depuis votre système d'exploitation

Chapitre 2 Accès aux partages depuis votre système d'exploitation Chapitre 2 Accès aux partages depuis votre système d'exploitation Ce chapitre présente des exemples d'accès à des partages sur le périphérique ReadyNAS Duo via différents systèmes d'exploitation. En cas

Plus en détail

Formations & Certifications informatiques, Services & Produits

Formations & Certifications informatiques, Services & Produits Le système d exploitation Linux a depuis de nombreuses années gagné le monde des entreprises et des administrations grâce à sa robustesse, sa fiabilité, son évolutivité et aux nombreux outils et services

Plus en détail

Linux. Sécuriser un réseau. 3 e édition. l Admin. Cahiers. Bernard Boutherin Benoit Delaunay. Collection dirigée par Nat Makarévitch

Linux. Sécuriser un réseau. 3 e édition. l Admin. Cahiers. Bernard Boutherin Benoit Delaunay. Collection dirigée par Nat Makarévitch Bernard Boutherin Benoit Delaunay Cahiers de l Admin Linux Sécuriser un réseau 3 e édition Collection dirigée par Nat Makarévitch Groupe Eyrolles, 2003, 2004, 2007, ISBN : 2-212-11960-7, ISBN 13 : 978-2-212-11960-2

Plus en détail

<http://www.2le.net> <http://www.ankeo.com> Sécurité et logiciels libres Sébastien Heitzmann - Jean-Marc Boursot 2LE, Ankeo 2002 - reproduction interdite Sécurité et logiciels libres Présentation des sociétés

Plus en détail

TP Cryptographie. Seul les services ssh et http/https sont accessibles depuis le poste de travail vers le serveur

TP Cryptographie. Seul les services ssh et http/https sont accessibles depuis le poste de travail vers le serveur TP Cryptographie Utiliser la machine virtuelle : devil crypto.tar.bz2!! Utiliser l'annexe en fin de TP. Le serveur devil sera considéré comme le serveur web, de plus il met à disposition: Le login administrateur

Plus en détail

Fonctionnement de Iptables. Exercices sécurité. Exercice 1

Fonctionnement de Iptables. Exercices sécurité. Exercice 1 Exercice 1 Exercices sécurité 1. Parmi les affirmations suivantes, lesquelles correspondent à des (bonnes) stratégies de défenses? a) Il vaut mieux interdire tout ce qui n'est pas explicitement permis.

Plus en détail

CONFIGURATION P 2 P 3 P 3 P 10 P 11 P 13 P 14 P 16

CONFIGURATION P 2 P 3 P 3 P 10 P 11 P 13 P 14 P 16 CONFIGURATION 1 Présentation 2 Topologie du projet 3 Installation 4 Configuration 4.1 Création de la DMZ publique 4.2 Accès vers l Internet 4.3 Publication d Exchange 4.4 Rapports d activité et alertes

Plus en détail

Protection exhaustive de réseau corporate, optimisation de trafic Internet, administration flexible

Protection exhaustive de réseau corporate, optimisation de trafic Internet, administration flexible Protection exhaustive de réseau corporate, optimisation de trafic Internet, administration flexible ÉVENTAIL DES UTILISATIONS Internet représente une part significative des affaires aujourd'hui. L'utilisation

Plus en détail

SQL Server 2012 - Administration d'une base de données transactionnelle avec SQL Server Management Studio (édition enrichie de vidéos)

SQL Server 2012 - Administration d'une base de données transactionnelle avec SQL Server Management Studio (édition enrichie de vidéos) Présentation 1. Introduction 13 2. Présentation de SQL Server 14 2.1 Qu'est-ce qu'un SGBDR? 14 2.2 Mode de fonctionnement Client/Serveur 16 2.3 Les plates-formes possibles 17 2.4 Les composants de SQL

Plus en détail

LINUX REDHAT, SERVICES RÉSEAUX/INTERNET

LINUX REDHAT, SERVICES RÉSEAUX/INTERNET LINUX REDHAT, SERVICES RÉSEAUX/INTERNET Réf: LIH Durée : 4 jours (7 heures) OBJECTIFS DE LA FORMATION Ce cours pratique vous permettra de maîtriser le fonctionnement des services réseaux sous Linux RedHat.

Plus en détail

INTRODUCTION A LA SECURITE DES RESEAUX

INTRODUCTION A LA SECURITE DES RESEAUX INTRODUCTION A LA SECURITE DES RESEAUX OBJECTIFS de la SECURITE des DONNEES (relativement à des personnes non autorisées) Confidentielles-ne doivent pas être lues Permanentes-ne doivent pas être altérées

Plus en détail

L3 informatique TP n o 2 : Les applications réseau

L3 informatique TP n o 2 : Les applications réseau L3 informatique TP n o 2 : Les applications réseau Sovanna Tan Septembre 2009 1/20 Sovanna Tan L3 informatique TP n o 2 : Les applications réseau Plan 1 Transfert de fichiers 2 Le Courrier électronique

Plus en détail

face à la sinistralité

face à la sinistralité Le logiciel libre face à la sinistralité Jean-Marc Boursot Ankeo 2005 - reproduction interdite Le logiciel libre face à la sinistralité Présentation Le rapport du Clusif Quelques

Plus en détail

Travaux pratiques 8.4.2 Configuration des stratégies d accès et des paramètres de la zone démilitarisée (DMZ)

Travaux pratiques 8.4.2 Configuration des stratégies d accès et des paramètres de la zone démilitarisée (DMZ) Travaux pratiques 8.4.2 Configuration des stratégies d accès et des paramètres de la zone démilitarisée (DMZ) Objectifs Se connecter au périphérique multi-fonction et afficher les paramètres de sécurité

Plus en détail

E-mail : contact@nqicorp.com - Web : http://www.nqicorp.com

E-mail : contact@nqicorp.com - Web : http://www.nqicorp.com - 5, rue Soutrane - 06560 Valbonne Sophia-Antipolis E-mail : contact@nqicorp.com - Web : http://www.nqicorp.com NQI Orchestra 3.3 - Guide d'installation Windows.................................................................

Plus en détail

USERGATE PROXY & FIREWALL. Protection exhaustive de réseau corporate, optimisation de trafic Internet, administration flexible

USERGATE PROXY & FIREWALL. Protection exhaustive de réseau corporate, optimisation de trafic Internet, administration flexible USERGATE PROXY & FIREWALL Protection exhaustive de réseau corporate, optimisation de trafic Internet, administration flexible ÉVENTAIL DES UTILISATIONS Internet représente une part significative des affaires

Plus en détail

Téléchargement d OCS Inventory Serveur et Agent. Sommaire

Téléchargement d OCS Inventory Serveur et Agent. Sommaire Téléchargement d OCS Inventory Serveur et Agent Tout d abord, Connectez-vous sur le site suivant : http://www.ocsinventory-ng.org/ Sélectionner le langage Français en cliquant sur le drapeau France Cliquer

Plus en détail

ISLOG Logon Tools Manuel utilisateur

ISLOG Logon Tools Manuel utilisateur ISLOG Logon Tools Manuel utilisateur Document révision 02 Copyright 2013 ISLOG Network. Tout droit réservé. Historique de version Date Auteur Description Document Version 23/08/13 F Godinho Version initiale

Plus en détail

GFI LANguard Network Security Scanner v9 : Une application complète pour la protection du réseau

GFI LANguard Network Security Scanner v9 : Une application complète pour la protection du réseau GFI LANguard NSS v9 novembre 2008 Introduction GFI LANguard Network Security Scanner v9 : Une application complète pour la protection du réseau Distributeur pour le marché francophone des solutions GFI

Plus en détail

SQL Server 2014 Administration d'une base de données transactionnelle avec SQL Server Management Studio

SQL Server 2014 Administration d'une base de données transactionnelle avec SQL Server Management Studio Présentation 1. Introduction 13 2. Présentation de SQL Server 14 2.1 Qu'est-ce qu'un SGBDR? 15 2.2 Mode de fonctionnement client/serveur 16 2.3 Les plates-formes possibles 18 2.4 Les composants de SQL

Plus en détail

Serveur Web - IIS 7. IIS 7 sous Windows 2008

Serveur Web - IIS 7. IIS 7 sous Windows 2008 Serveur Web - IIS 7 Le livre de référence de ce chapitre est «Windows Server 2008 - Installation, configuration, gestion et dépannage» des éditions ENI, disponible sur egreta. Le site de référence pour

Plus en détail

Sécurisation du réseau

Sécurisation du réseau Sécurisation du réseau La sécurisation du réseau d entreprise est également une étape primordiale à la sécurisation générale de votre infrastructure. Cette partie a pour but de présenter les fonctionnalités

Plus en détail

E-mail : contact@nqicorp.com - Web : http://www.nqicorp.com

E-mail : contact@nqicorp.com - Web : http://www.nqicorp.com - 5, rue Soutrane - 06560 Valbonne Sophia-Antipolis E-mail : contact@nqicorp.com - Web : http://www.nqicorp.com NQI Orchestra 3.3 - Guide d'installation Linux....................................................................

Plus en détail

2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES. 2.2 Architecture fonctionnelle d un système communicant. http://robert.cireddu.free.

2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES. 2.2 Architecture fonctionnelle d un système communicant. http://robert.cireddu.free. 2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES 2.2 Architecture fonctionnelle d un système communicant Page:1/11 http://robert.cireddu.free.fr/sin LES DÉFENSES Objectifs du COURS : Ce cours traitera essentiellement

Plus en détail

DEFINITION... 2 EXEMPLE SANS PROXY... 2 EXEMPLE AVEC PROXY... 2 LE REVERSE-PROXY... 2 EXEMPLE AVEC WINGATE...

DEFINITION... 2 EXEMPLE SANS PROXY... 2 EXEMPLE AVEC PROXY... 2 LE REVERSE-PROXY... 2 EXEMPLE AVEC WINGATE... Serveur Proxy Sommaire : DEFINITION... 2 EXEMPLE SANS PROXY... 2 EXEMPLE AVEC PROXY... 2 LE REVERSE-PROXY... 2 EXEMPLE AVEC WINGATE... 3 POSTE CLIENT... 8 EXEMPLE AVEC SQUID (SOUS WINDOWS)... 8 POSTE CLIENT...10

Plus en détail

LANDPARK NETWORK IP LANDPARK NETWORK IP VOUS PERMET D'INVENTORIER FACILEMENT VOS POSTES EN RÉSEAU

LANDPARK NETWORK IP LANDPARK NETWORK IP VOUS PERMET D'INVENTORIER FACILEMENT VOS POSTES EN RÉSEAU LANDPARK NETWORK IP Avril 2014 LANDPARK NETWORK IP VOUS PERMET D'INVENTORIER FACILEMENT VOS POSTES EN RÉSEAU Landpark NetworkIP est composé de trois modules : Un module Serveur, que l'on installe sur n'importe

Plus en détail

Tunnels et VPN. 22/01/2009 Formation Permanente Paris6 86

Tunnels et VPN. 22/01/2009 Formation Permanente Paris6 86 Tunnels et VPN 22/01/2009 Formation Permanente Paris6 86 Sécurisation des communications Remplacement ou sécurisation de tous les protocoles ne chiffrant pas l authentification + éventuellement chiffrement

Plus en détail

ProCurve Manager Plus 2.2

ProCurve Manager Plus 2.2 ProCurve Manager Plus 2.2 ProCurve Manager Plus 2.2 est une plate-forme de gestion de réseau avancée basée sur Windows qui fournit à l administrateur des écrans simples à utiliser et détaillés pour configurer,

Plus en détail

LINUX - ADMINISTRATION PROGRAMME DE FORMATION

LINUX - ADMINISTRATION PROGRAMME DE FORMATION LINUX - ADMINISTRATION Objectifs : Cette formation a pour objectif de vous apprendre les éléments de base de l'administration en commençant par un rappel des commandes de bases et l'apprentissage de la

Plus en détail

Internet Information Services (versions 7 et 7.5) Installation, configuration et maintenance du serveur Web de Microsoft

Internet Information Services (versions 7 et 7.5) Installation, configuration et maintenance du serveur Web de Microsoft Introduction à IIS 1. Objectifs de ce livre 13 2. Implémentation d un serveur web 14 2.1 Les bases du web 14 2.2 Les protocoles web 16 2.3 Le fonctionnement d un serveur web 21 2.4 Les applications web

Plus en détail

Applications Réseau. Objectif: Contenu: Durée: Comprendre et utiliser les applications réseau

Applications Réseau. Objectif: Contenu: Durée: Comprendre et utiliser les applications réseau Applications Réseau Objectif: Comprendre et utiliser les applications réseau Contenu: principes des applications réseau diagnostic et dépannage exemples: telnet, FTP, NTP, commandes remote, affichage déporté

Plus en détail

Solution d inventaire automatisé d un parc informatique et de télédistribution OCS INVENTORY NG. EHRHARD Eric - Gestionnaire Parc Informatique

Solution d inventaire automatisé d un parc informatique et de télédistribution OCS INVENTORY NG. EHRHARD Eric - Gestionnaire Parc Informatique Solution d inventaire automatisé d un parc informatique et de télédistribution OCS INVENTORY NG EHRHARD Eric - Gestionnaire Parc Informatique 1 Possibilités d OCS Inventory. Informations d'inventaire pertinentes.

Plus en détail

Joomla! Création et administration d'un site web - Version numérique

Joomla! Création et administration d'un site web - Version numérique Avant-propos 1. Objectifs du livre 15 1.1 Orientation 15 1.2 À qui s adresse ce livre? 16 2. Contenu de l ouvrage 17 3. Conclusion 18 Introduction 1. Un peu d histoire pour commencer... 19 1.1 Du web statique

Plus en détail

Administration réseau Accès aux fichiers distants

Administration réseau Accès aux fichiers distants Administration réseau Accès aux fichiers distants A. Guermouche A. Guermouche Cours 8 : NFS & SMB 1 Plan 1. Introduction 2. NFS 3. SAMBA A. Guermouche Cours 8 : NFS & SMB 2 Plan Introduction 1. Introduction

Plus en détail

Connexion d un client lourd à la messagerie e-santé PACA

Connexion d un client lourd à la messagerie e-santé PACA Connexion d un client lourd à la messagerie e-santé PACA La messagerie sécurisée e-santé PACA est un service de type Webmail. Un Webmail est une interface Web rendant possible l émission, la consultation

Plus en détail

Serveur de sauvegarde à moindre coût

Serveur de sauvegarde à moindre coût 1/28 Serveur de sauvegarde à moindre coût Yann MORÈRE LASC http://www.lasc.univ-metz.fr/ I. Cahier des charges II. Solution III. Présentation des outils utilisés IV. Mise en œuvre 2/28 Cahier des charges

Plus en détail

Définition Principes de fonctionnement Application à iptables 1/25

Définition Principes de fonctionnement Application à iptables 1/25 Les pare-feux Définition Principes de fonctionnement Application à iptables 1/25 Définition Un pare-feu est un logiciel qui : Analyse les trames qu'il reçoit et prend une décision en fonction des adresses

Plus en détail

A. Introduction. Chapitre 4. - les entités de sécurité ; - les sécurisables ; - les autorisations.

A. Introduction. Chapitre 4. - les entités de sécurité ; - les sécurisables ; - les autorisations. Chapitre 4 A. Introduction Le contrôle d'accès représente une opération importante au niveau de la gestion de la sécurité sur un serveur de bases de données. La sécurisation des données nécessite une organisation

Plus en détail

ResEl 101 : Présentation des fonctionnalités de Linux utilisées au ResEl

ResEl 101 : Présentation des fonctionnalités de Linux utilisées au ResEl ResEl 101 : Présentation des fonctionnalités de Linux utilisées au ResEl Association ResEl Réseau des Élèves de l ENST Bretagne 23 Septembre 2005 Association ResEl (Réseau

Plus en détail

Fonctionnalités du Front Office pour l utilisateur final

Fonctionnalités du Front Office pour l utilisateur final Simple, pas cher Efficace! Fonctionnalités du Front Office pour l utilisateur final Index Introduction Page d'accueil Page des tarifs Compte client Gestion du compte Contacts Envoyer un fax Mail to fax

Plus en détail

CAHIER DES CHARGES D IMPLANTATION

CAHIER DES CHARGES D IMPLANTATION CAHIER DES CHARGES D IMPLANTATION Tableau de diffusion du document Document : Cahier des Charges d Implantation EVRP Version 6 Etabli par DCSI Vérifié par Validé par Destinataires Pour information Création

Plus en détail

La sécurité. Chapitre 6. 1. Introduction. 2. La sécurité des accès

La sécurité. Chapitre 6. 1. Introduction. 2. La sécurité des accès 259 Chapitre 6 La sécurité 1. Introduction La sécurité La sécurité des données est un enjeu capital. Une base de données peut être amenée à stocker des données très sensibles, confidentielles. L'implémentation

Plus en détail

Sécurité des systèmes d information les firewalls

Sécurité des systèmes d information les firewalls Sécurité des systèmes d information les firewalls 1 Plan Définition et notions générales L offre Firewall actuelle Conception d une architecture sécurisée par firewall Administration et maintenance 2 Aperçu

Plus en détail

Manuel du Desktop Sharing

Manuel du Desktop Sharing Brad Hards Traduction française : Ludovic Grossard Traduction française : Damien Raude-Morvan Traduction française : Joseph Richard 2 Table des matières 1 Introduction 5 2 Le protocole de mémoire de trame

Plus en détail

Internet Information Services 8 (IIS 8) Installation, configuration et maintenance du serveur Web IIS 8 sous Windows Server 2012

Internet Information Services 8 (IIS 8) Installation, configuration et maintenance du serveur Web IIS 8 sous Windows Server 2012 Introduction à IIS 1. Objectifs de ce livre 13 2. Implémentation d un serveur web 14 2.1 Les bases du web 14 2.2 Les protocoles web 16 2.3 Le fonctionnement d un serveur web 21 2.4 Les applications web

Plus en détail

OCS Inventory NG Maîtrisez l'inventaire de votre parc informatique et le déploiement de vos logiciels

OCS Inventory NG Maîtrisez l'inventaire de votre parc informatique et le déploiement de vos logiciels Introduction 1. Avant-propos 15 1.1 Cibles et objectifs de l'ouvrage 16 1.2 Organisation du livre 16 1.3 Pré-requis techniques et ressources documentaires 17 1.3.1 Pré-requis techniques 17 1.3.2 Ressources

Plus en détail

Phase 1 : Introduction 1 jour : 31/10/13

Phase 1 : Introduction 1 jour : 31/10/13 Programme de formation Agence Nord Armand DISSAUX Tel. 03 59 39 13 42 Mob. 06 72 48 13 12 @ adissaux@capensis.fr Session Linux 31 Octobre au 20 Décembre 2013 (31 jours soient 232h30) Phase 1 : Introduction

Plus en détail

CS REMOTE CARE - WEBDAV

CS REMOTE CARE - WEBDAV CS REMOTE CARE - WEBDAV Configuration des serveurs archange KONICA MINOLTA BUSINESS SOLUTIONS FRANCE Date Version Marque de révision Rédaction 18/10/2011 1 - Claude GÉRÉMIE Nicolas AUBLIN Sommaire 1) PRINCIPE

Plus en détail

Description du datagramme IP :

Description du datagramme IP : Université KASDI MERBAH OUARGLA Faculté des Nouvelles Technologies de l information et de la Communication Département Informatique et Technologies de les Information 1 er Année Master académique informatique

Plus en détail

Sécurité des applications Retour d'expérience

Sécurité des applications Retour d'expérience HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet Netfocus Sécurité des applications Retour d'expérience Nicolas Collignon

Plus en détail