Le logiciel libre en sécurité. L'intérêt du logiciel libre en sécurité

Dimension: px
Commencer à balayer dès la page:

Download "Le logiciel libre en sécurité. L'intérêt du logiciel libre en sécurité"

Transcription

1 [Accueil] [Plan] [Besoins] [Libre] [Proprio] [LibreSecu] [SecuLibre] [Exemples] [Conclusion] [Ressources] Le logiciel libre en sécurité L'intérêt du logiciel libre en sécurité Linux-Expo Paris 1 Février 2002 Hervé Schauer Hervé Schauer Consultants Reproduction strictement interdite Hervé Schauer Consultants bis, rue de la Gare - F Levallois-Perret - France Téléphone : Télécopie : Courriel : - Page 1 -

2 [Accueil] [Plan] [Besoins] [Libre] [Proprio] [LibreSecu] [SecuLibre] [Exemples] [Conclusion] [Ressources] Le logiciel libre en sécurité Plan de la présentation Hervé Schauer Consultants Besoins des utilisateurs Le logiciel libre Le logiciel propriétaire en sécurité Le logiciel libre et la sécurité La sécurité grâce au logiciel libre Exemples de logiciels libres pour la sécurité Conclusion Références & Ressources Hervé Schauer Consultants bis, rue de la Gare - F Levallois-Perret - France Téléphone : Télécopie : Courriel : - Page 2 -

3 [Accueil] [Plan] [Besoins] [Libre] [Proprio] [LibreSecu] [SecuLibre] [Exemples] [Conclusion] [Ressources] Hervé Schauer Consultants Cabinet de consultants en sécurité Unix, WNT, TCP/IP et Internet depuis consultants Expérience de la sécurité Unix depuis 1987 Expérience de la sécurité Internet depuis 1991 Expérience de la sécurité WNT depuis 1997 Conception et architecture sécurité Internet/Intranet détection d'intrusion commerce électronique Mise en place de systèmes de sécurité Audits Tests d'intrusion Veille technologique en vulnérabilités Formations Plus de 30 produits de sécurité maitrisés 200 références dans tous les secteurs d'activités et sur tous les continents Hervé Schauer Consultants bis, rue de la Gare - F Levallois-Perret - France Téléphone : Télécopie : Courriel : - Page 3 -

4 [Accueil] [Plan] [Besoins] [Libre] [Proprio] [LibreSecu] [SecuLibre] [Exemples] [Conclusion] [Ressources] HSC et le logiciel libre Contribution à Sendmail (01/1992) Rediffusion de la conférence des BBS LINUX.FR en newsgroup resif.info.linux (01/1993) Création de la hiérarchie de news fr. et de fr.comp.os.linux (04/1993) Dossier Unix sur PC de Tribunix (07/1993) Installation en clientèle du premier 386BSD (1994) Installation en clientèle du premier Linux (01/1995) Présentations et formations en français Formation Sendmail (1992) Formation Bind (1992) Présentations de PGP (1994), ssh, SSL, Apache avec certificats Sensibilisation à l'intérêt du logiciel libre en sécurité ( ) Tutoriel sécurité Linux dans le cadre de Linux-Expo (1999) Formation Postfix (1999), (support de cours en ligne) Formation Sécurité Linux (1999), (support de cours en ligne) Publication de logiciels libres : Babelweb, Filterrules, Nstreams, XML-logs, etc Hervé Schauer Consultants bis, rue de la Gare - F Levallois-Perret - France Téléphone : Télécopie : Courriel : - Page 4 -

5 [Accueil] [Plan] [Besoins] [Libre] [Proprio] [LibreSecu] [SecuLibre] [Exemples] [Conclusion] [Ressources] Besoins des utilisateurs Solution qui répond à ses besoins de sécurité Solution qui répond à ses besoins de services Solution qui répond aux moyens : humains et d'exploitation financiers Etape Etape répondre : Définissez vos besoins et vos moyens : Choisissez les architectures et les outils pour y Hervé Schauer Consultants bis, rue de la Gare - F Levallois-Perret - France Téléphone : Télécopie : Courriel : - Page 5 -

6 [Accueil] [Plan] [Besoins] [Libre] [Proprio] [LibreSecu] [SecuLibre] [Exemples] [Conclusion] [Ressources] Le logiciel libre Logiciel libre de droit protégé par le droit d'auteur l'auteur autorise la copie Logiciel dont le code source est accessible Logiciel dont le code source est modifiable GNU (Richard Stallman, 1984) Open-source (Eric Raymond, 1998) Linux est un logiciel libre Hervé Schauer Consultants bis, rue de la Gare - F Levallois-Perret - France Téléphone : Télécopie : Courriel : - Page 6 -

7 [Accueil] [Plan] [Besoins] [Libre] [Proprio] [LibreSecu] [SecuLibre] [Exemples] [Conclusion] [Ressources] Le logiciel propriétaire en sécurité Impossibilité d'obtenir une adaptation à un contexte spécifique Impossibilité d'obtenir une explication sur le fonctionnement du produit Réponse habituelle : "secret industriel" Exemple de question qui n'a jamais reçu de réelle réponse chez un fournisseur : "que vérifie votre filtrage de session (= inspection avec état)?" Grosses surprises lorsque l'on fait l'effort de faire de l'ingéniérie inverse et des tests intensifs Et les doutes subsistent : Difficulté d'obtention d'un support à la hauteur de l'importance du sujet Mauvais respect des standards Exemple : piles IPsec Hervé Schauer Consultants bis, rue de la Gare - F Levallois-Perret - France Téléphone : Télécopie : Courriel : - Page 7 -

8 [Accueil] [Plan] [Besoins] [Libre] [Proprio] [LibreSecu] [SecuLibre] [Exemples] [Conclusion] [Ressources] Le logiciel libre et la sécurité Les caractéristiques du logiciel libre sont un atout en sécurité Code source supérieur au logiciel propriétaire taille du code modularité du code lisibilité du code qualité du code Logiciel moins complexe que le logiciel propriétaire Logiciel souvents supérieur et plus industriel Logiciel toujours documenté Logiciel réalisé sans pression pas de contrainte de temps pas de contraintes financières Bon respect des standards La norme constitue le cahier des charges Hervé Schauer Consultants bis, rue de la Gare - F Levallois-Perret - France Téléphone : Télécopie : Courriel : - Page 8 -

9 [Accueil] [Plan] [Besoins] [Libre] [Proprio] [LibreSecu] [SecuLibre] [Exemples] [Conclusion] [Ressources] Le logiciel libre et la sécurité Les logiciels libres peuvent être utilisés en toute confiance Mêmes précautions que pour un logiciel propriétaire Il faut : Valider la méthode d'obtention du logiciel Télécharger depuis le site de l'auteur ou un miroir officiel Vérifier que l'on télécharge bien la version pour son système Lire les documentations Tester et valider le fonctionnement en production du logiciel Noter où obtenir mise à jour et support Hervé Schauer Consultants bis, rue de la Gare - F Levallois-Perret - France Téléphone : Télécopie : Courriel : - Page 9 -

10 [Accueil] [Plan] [Besoins] [Libre] [Proprio] [LibreSecu] [SecuLibre] [Exemples] [Conclusion] [Ressources] La sécurité grâce au logiciel libre Le logiciel libre permet notamment : L'analyse du code source La correction des failles L'indépendance du support Hervé Schauer Consultants bis, rue de la Gare - F Levallois-Perret - France Téléphone : Télécopie : Courriel : - Page 10 -

11 [Accueil] [Plan] [Besoins] [Libre] [Proprio] [LibreSecu] [SecuLibre] [Exemples] [Conclusion] [Ressources] La sécurité grâce au logiciel libre L'analyse du code source Sécurité curiosité regarder comment c'est conçu regarder comment c'est programmé, comprendre pourquoi et donner son avis détecter les failles éventuelles de sécurité là où un logiciel non accessible en source ne le permet pas Sources relues par de nombreuses personnes motivées et diversifiées (peer review) éditeurs propriétaires ne peuvent atteindre ce niveau de relecture attention : ce n'est pas une garantie Exemples : cheval de troie dans tcp_wrapper, faille dans ssh v1 Hervé Schauer Consultants bis, rue de la Gare - F Levallois-Perret - France Téléphone : Télécopie : Courriel : - Page 11 -

12 [Accueil] [Plan] [Besoins] [Libre] [Proprio] [LibreSecu] [SecuLibre] [Exemples] [Conclusion] [Ressources] La sécurité grâce au logiciel libre La correction des failles Possibilité d'agir soi-même autonomie Possibilité de faire agir un tiers immédiatement disponible indépendant des auteurs compétent permet de faire une correction rapidement en se reposant sur soi sans être dépendant d'un extérieur mal maîtrisé Existence d'une large communauté capable d'agir dans le code corrections dès la découverte du problème validation importante en peu de temps Exemple erreur pile IP Linux Hervé Schauer Consultants bis, rue de la Gare - F Levallois-Perret - France Téléphone : Télécopie : Courriel : - Page 12 -

13 [Accueil] [Plan] [Besoins] [Libre] [Proprio] [LibreSecu] [SecuLibre] [Exemples] [Conclusion] [Ressources] La sécurité grâce au logiciel libre L'indépendance du support L'indépendance du support et de l'assistance garanti la perennité du support garanti le niveau d'expertise Logiciel propriétaire support fournisseur, arrêt du logiciel (rachat, changement stratégique, etc) arrêt du support utilisation du logiciel dans un contexte spécifique sécurité : incompétence réactivité inadaptée pour le prix Logiciel libre appel à un support qualifié en sécurité Hervé Schauer Consultants bis, rue de la Gare - F Levallois-Perret - France Téléphone : Télécopie : Courriel : - Page 13 -

14 [Accueil] [Plan] [Besoins] [Libre] [Proprio] [LibreSecu] [SecuLibre] [Exemples] [Conclusion] [Ressources] Exemples de logiciels libres pour la sécurité (1/4) Filtrage IP NetFilter (Linux 2.4), Packet Filter (OpenBSD), IP-Filter (FreeBSD, NetBSD, Solaris, HP-UX, IRIX), IP-Chains (Linux 2.2), IP-Firewall (FreeBSD, Linux 2.0) Configuration du filtrage IP Firewall Builder, SmoothWall, PHP Firewall Generator, GFCC, Easy Firewall, Mason Network streams, Filterrules Filtrage IP en entrée sur un serveur tcp_wrapper, xinetd Relayage applicatif Squid, Solsoft NSM, Delegate, FWTK Hervé Schauer Consultants bis, rue de la Gare - F Levallois-Perret - France Téléphone : Télécopie : Courriel : - Page 14 -

15 [Accueil] [Plan] [Besoins] [Libre] [Proprio] [LibreSecu] [SecuLibre] [Exemples] [Conclusion] [Ressources] Exemples de logiciels libres pour la sécurité (2/4) Relayage applicatif en entrée Apache, Subweb Tests de vulnérabilités Nessus, Nmap, Hping, Whisker Détection d'intrusions Snort, Prelude, Ntop, Shadow, Bro (téléchargement) Chiffrement au niveau réseau : Implémentations libres d'ipsec KAME, Linux FreeS/Wan, OpenBSD, Pipsecd Chiffrement au niveau applicatif PGP, Gnu Privacy Guard, SSH (FAQ), OpenSSH, LSH, SSF Hervé Schauer Consultants bis, rue de la Gare - F Levallois-Perret - France Téléphone : Télécopie : Courriel : - Page 15 -

16 [Accueil] [Plan] [Besoins] [Libre] [Proprio] [LibreSecu] [SecuLibre] [Exemples] [Conclusion] [Ressources] Exemples de logiciels libres pour la sécurité (3/4) Authentification Opie (téléchargement), S/Key, Radius (RFC) (téléchargement), Tacacs (téléchargement), OpenLdap Serveurs WWW sécurisables et chiffrement SSL/TLS Apache, Apache-SSL, mod_ssl basé sur OpenSSL Infratructures de gestion de clés IDX-PKI, EU-PKI Hervé Schauer Consultants bis, rue de la Gare - F Levallois-Perret - France Téléphone : Télécopie : Courriel : - Page 16 -

17 [Accueil] [Plan] [Besoins] [Libre] [Proprio] [LibreSecu] [SecuLibre] [Exemples] [Conclusion] [Ressources] Contrôle d'intégrité AIDE, Tripwire, SamHain, Lastwall, etc Journalisation Swatch, Logsurfer, XML-logs, New Syslog, Modular Syslog, Syslog-NG Serveurs de nom, Serveurs de messagerie Bind, Postfix, Sendmail Serveurs de fichiers Samba Systèmes d'exploitation pour serveurs, fiables et à hautedisponibilité Linux, Linux HA, FreeBSD, OpenBSD, etc etc. Exemples de logiciels libres pour la sécurité (4/4) Hervé Schauer Consultants bis, rue de la Gare - F Levallois-Perret - France Téléphone : Télécopie : Courriel : - Page 17 -

18 [Accueil] [Plan] [Besoins] [Libre] [Proprio] [LibreSecu] [SecuLibre] [Exemples] [Conclusion] [Ressources] Conclusion En sécurité, il faut conseiller le logiciel libre comprendre ce qui se passe gagner son autonomie répondre aux besoins spécifiques obtenir la transparence Les logiciels libres apportent de la sécurité Le logiciel libre est crucial pour la sécurité Hervé Schauer Consultants bis, rue de la Gare - F Levallois-Perret - France Téléphone : Télécopie : Courriel : - Page 18 -

19 [Accueil] [Plan] [Besoins] [Libre] [Proprio] [LibreSecu] [SecuLibre] [Exemples] [Conclusion] [Ressources] Ressources Associations AFUL : Association Française des utilisateurs de Linux et des Logiciels Libres OSSIR : Observatoire de la Sécurité des Systèmes d'information et des Réseaux Papiers, débats et conférences The Cathedral and the Bazaar AFUL : Qu'est-ce que le logiciel libre? Autrans 98 : Table ronde sur les logiciels libres ENST-Bretagne : Un avenir pour le logiciel libre Autrans 99 : Logiciels libres et logiciels propriétaires Autrans 99 : Les logiciels libres et la sécurité Les documents Halloween : Jusqu'où Micro$oft vous emmènera-t-il? Définition de l'open Source SANS Bastillle-Linux project, Securing Linux workshop What's Wrong With Content Protection, de John Gilmore de l'eff Support du cours HSC Sécurité Linux : Hervé Schauer Consultants bis, rue de la Gare - F Levallois-Perret - France Téléphone : Télécopie : Courriel : - Page 19 -

20 Apache, Linux et la sécurité des serveurs web Linux Expo 1 Février 2002 Frédéric Lavécot Hervé Schauer Consultants <http://www.hsc.fr/> Copyright Hervé Schauer Consultants Reproduction Interdite Plan Apache Sécurité d un serveur web Installation d apache Mécanismes de sécurité Copyright Hervé Schauer Consultants Reproduction Interdite

21 Apache <http://httpd.apache.org/> Quelques chiffres (source Netcraft) : Apache : 56.50% IIS : I-Planet : 3.59% Zeus : 2.18% Copyright Hervé Schauer Consultants Reproduction Interdite Apache - Aujourd hui Apache octobre version stable Maturité exceptionnelle, le logiciel libre le plus utilisé sur Internet Tous les hébergeurs, les fournisseurs d accès, les consommateurs intensifs de ressources web, utilisent Apache Apache novembre version de développement $ telnet httpd.apache.org 80 Trying Connected to httpd.apache.org. Escape character is ^]. HEAD / HTTP/1.0 HTTP/ Found Server: Apache/ (Unix) Location: Copyright Hervé Schauer Consultants Reproduction Interdite

22 Apache - Forces Simplicité de configuration par défaut fonctionnelle et sûre 1 fichier : httpd.conf syntaxe claire et stable documentation extrêmement poussée Modularité Développement dynamique 40 développeurs dans le "core team", très stricts quant-à la tournure du développement Projets variés Tomcat : implémentation de référence des technologies Java-Server Coccon : environnement de publication en ligne de documents XML Copyright Hervé Schauer Consultants Reproduction Interdite La sécurisation est un processus Elle commence au moment de définir l architecture Bien débuter : installation minimale du serveur Ne pas oublier : se prolonge jusqu à ce que le serveur soit déconnecté de tout réseau Privilégier une approche pratique aux guides d assurances (orange book, common criteria,...) qui n ont pas la même vocation : Conçus pour l armée en dehors des contraintes des entreprises Copyright Hervé Schauer Consultants Reproduction Interdite

23 Mises à jour de sécurité La sécurité se dégrade rapidement si les programmes ne sont pas maintenus à jour, notamment pour : les services réseau les programmes SUID et/ou SGID Il est souvent nécessaire de mettre à jour une machine qui vient d être install ée Copyright Hervé Schauer Consultants Reproduction Interdite Se tenir au courant RedHat : mailing liste : avec le mot "subscribe" dans le sujet lire les avis de sécurité (RSA : RedHat Security Advisories) Debian : envoyer un mail à l adresse avec le mot "subscribe" dans le sujet Copyright Hervé Schauer Consultants Reproduction Interdite

24 Informations de sécurité généralistes Bugtraq : envoyer un message à avec dans le corps du message : SUBSCRIBE BUGTRAQ Nom, Prénom Securiteam : envoyer un mail avec un sujet vide à Les messages contienent un tag spécial dans le sujet : [NEWS] - General security news. [NT] -Windows specific issues. [UNIX] -UNIX specific issues. [EXPL] - Advisories that contain exploit code. [TOOL] - Free tool reviews. [REVS] - Commercial product reviews. Veilles commerciales Copyright Hervé Schauer Consultants Reproduction Interdite Installation d Apache Installation minimale : désactivation des modules non nécessaires Choix entre fonctionnement statique (toutes les fonctions compilées dans l exécutable) ou modulaire Exemple de configuration modulaire (DSO) :./configure --enable-module=most --enable-shared=max [...] Exemple de configuration statique :./configure --enable-module=rewrite --enable-module=proxy [...] Ne jamais configurer en./configure --enable-module=most [...] sans préciser le mode DSO. Toutes les fonctions seraient compilées en un unique exécutable. Ré percussion sur la configuration Directive LoadModule à utiliser pour sélectionner les modules à charger au démarrage, si et seulement si ils sont vraiment nécessaires. Copyright Hervé Schauer Consultants Reproduction Interdite

25 Installation d Apache Identité du serveur web Nécessité ABSOLUE d utiliser un utilisateur et un groupe dédiés pour faire fonctionner le serveur web Par défaut, il s agit de nobody:nogroup, pas assez restrictif. Le serveur est lancé avec l UID 0 (root), afin de s attacher au port privilégi é 80. Les processus suivants (issus de fork) prennent l identité de l utilisateur dédié pour répondre aux requêtes HTTP et exécuter les scripts CGI le cas échéant Cet utilisateur et ce groupe ne doivent disposer que d un nombre réduit de permissions : écriture des journaux, lecture des pages web, exécution d éventuels scripts de CGI, compte verrouillé Dans la configuration d Apache, on utilise les directives User et Group Apache Copyright Hervé Schauer Consultants Reproduction Interdite Restrictions d accès Directives <Directory>, <Files>, <DirectoryMatch>, <FileMatch> ScriptAlias <Limit>, <LimitExcept> pour limiter les méthodes HTTP.htaccess Gestion des liens symboliques Virtual Host Copyright Hervé Schauer Consultants Reproduction Interdite

26 Démonstrations authentification Basic authentification Basic + LDAP Mod_auth_ldap + OpenLDAP Modssl Copyright Hervé Schauer Consultants Reproduction Interdite Le protocole HTTPS Encapsulation du protocole HTTP dans SSL/TPS HTTP dans un tunnel chiffré, authentifié, avec contrôle d intégrité sur les données Copyright Hervé Schauer Consultants Reproduction Interdite

27 HTTPS n est pas une sécurité contre : Les applications/scripts mal écrits les failles du serveur web Contrairement à ce que certains voudraient faire croire : From Thu Jan 17 19:45: Subject: Choisissez la confiance et la sécurité avec Certplus Votre site Internet est-il suffisamment sécurisé pour la vente en ligne? Pour offrir à vos clients 100% de sécurité et de confiance, découvrez dès maintenant le Certificat Serveur. Ce véritable passeport électronique, émis au sein du VeriSign Trust Network, vous permettra : - De crypter vos transactions commerciales en ligne et de garantir la confidentialité à vos clients - De sécurisez vos Intranets et d échanger vos informations sensibles en toute confiance [...] Copyright Hervé Schauer Consultants Reproduction Interdite Exemple d attaques sur HTTPS 1/2 Avec openssl <http://www.openssl.org/> : $ openssl s_client -connect :443 CONNECTED( ) depth=0 /C=FR/ST=Paris/L=Paris/O=XXXXXX XXXXXXXXXX/OU=DSIN/DU04/OU=Terms of use at (c) 01/OU=Authenticated by Certplus SA/OU=Member, Veri [...] GET /COM_DIS_Main/1,1500,blah_0_0_hsc,01.html HTTP/1.0 Host: secure.xxxxxx.xxxxxxxxxx.xxx [...] proc ::Projet::Qols::Sql::PCT_QOLS_SEL_SGE { {codeerr ""} } { eval "SEARCH PROCEDURE PKG_QOLS.PCT_QOLS_SEL_SGE INTO result PARAMETERS { codeerr } VALUES { {codeerr} }" return $result } [...] Copyright Hervé Schauer Consultants Reproduction Interdite

28 Exemple d attaques sur HTTPS 2/2 Avec stunnel <http://www.stunnel.org/> : $ stunnel -c -d 80 -r :443 $ perl -e print "A"x5000," / HTTP/1.0\r\n" nc localhost 80 HTTP/ Request-URI Too Large Date: Mon, 21 Jan :26:52 GMT Server: Apache/ Connection: close Content-Type: text/html; charset=iso Copyright Hervé Schauer Consultants Reproduction Interdite Reverse proxy Un relais inverse n est utile que s il apporte : des fonctionnalités (authentification par mots de passe ou forte par certificats, chiffrement, filtrage applicatif). du filtrage pour protéger les cgi : filtrage d URL (chemin, fichier, extension, type de paramètres,...) filtrage des cookies... Copyright Hervé Schauer Consultants Reproduction Interdite

29 Filtrage d URL et de contenu Modules apaches mod_rewrite : ré-écriture d URL Principe d un cgi-wrapper Ne jamais faire confiance aux données qui viennent d Internet Vérifier toutes les données utilisateurs Copyright Hervé Schauer Consultants Reproduction Interdite mod_rewrite <http://httpd.apache.org/docs/mod/mod_rewrite.html> <http://www.hsc.fr/ressources/breves/filtre-relais-inverse.html>./configure --enable-module-rewrite Ré-écriture d URL Très puissant mais peut s avérer complexe à mettre en oeuvre désactiver ProxyPass et ProxyPassReverse (sinon s exécutent avant Rewrite Rules) basé sur des expressions régulières 1 pour la correspondance 1 pour la réécriture puis prise de décision : P (proxy), F (forbidden),... Comme le filtrage IP : autoriser de qui est connu et par défaut interdire tout RewriteRule.* / [F] Copyright Hervé Schauer Consultants Reproduction Interdite

30 mod_rewrite : Exemples RewriteEngine On RewriteLog logs/rewrite.log RewriteLogLevel 9 RewriteRule \.htr($.*) / [F] dans logs/rewrite/log [23/Jan/2002:09:43: ] [avalon.hsc.fr/sid#80d3034][rid#8102c 3c/initial/redir#1] (2) init rewrite engine with requested uri /index.html.en [23/Jan/2002:09:43: ] [avalon.hsc.fr/sid#80d3034][rid#8102c 3c/initial/redir#1] (3) applying pattern \.htr($.*) to uri /index.html.en [23/Jan/2002:09:43: ] [avalon.hsc.fr/sid#80d3034][rid#8102c 3c/initial/redir#1] (1) pass through /index.html.en [23/Jan/2002:09:44: ] [avalon.hsc.fr/sid#80d3034][rid# /initial] (3) applying pattern \.htr($.*) to uri /blah.htr [23/Jan/2002:09:44: ] [avalon.hsc.fr/sid#80d3034][rid# /initial] (2) rewrite /blah.htr -> / [23/Jan/2002:09:44: ] [avalon.hsc.fr/sid#80d3034][rid# /initial] (2) forcing / to be forbidden Copyright Hervé Schauer Consultants Reproduction Interdite mod_rewrite : Exemples RewriteRule index\.html($.*) index\.html2 [L] [23/Jan/2002:11:41: ] [avalon.hsc.fr/sid#80d3034][rid#8105c94/initial/redir#1] (2) rewrite /index.html -> /index2.html [23/Jan/2002:11:41: ] [avalon.hsc.fr/sid#80d3034][rid#8105c94/initial/redir#1] (2) local path result: /index2.html [23/Jan/2002:11:41: ] [avalon.hsc.fr/sid#80d3034][rid#8105c94/initial/redir#1] (2) prefixed with document_root to /usr/local/apache/htdocs/index2.html [23/Jan/2002:11:41: ] [avalon.hsc.fr/sid#80d3034][rid#8105c94/initial/redir#1] (1) go-ahead with /usr/local/apache/htdocs/index2.html [OK] Copyright Hervé Schauer Consultants Reproduction Interdite

31 CGI wrapper <http://www.hsc.fr/ressources/breves/cgi-wrapper.html> Protéger des cgi dont on a pas forcément les sources Filtrer les paramètres d un cgi appelé à la place du cgi original et vérifie la taille minimum d un paramètre la taille maximum d un paramètre le type de données grâce à une expression régulière Copyright Hervé Schauer Consultants Reproduction Interdite Les autres possibilités Filtrer la conformité d un cookie / du sessionid avec le mécanisme de génération scellement des champs hidden (expérimental dans subweb) Chiffrer la valeur des champs hidden pour qu ils ne soient pas modifiés chiffrement des URL jeton pour passer d un script à un autre Eviter de deviner les URLs par force-brute Copyright Hervé Schauer Consultants Reproduction Interdite

32 Sécurité des applications Un cgi n est sur que si le code source a été audité. Bon réflexe de tester vous mêmes vos propres cgi. De même que l on fait tourner nmap sur un serveur pour tester le filtrage il existe des outils pour vous aider à tester vos applications. subweb : <http://www.hsc.fr/ressources/outils/subweb/> babelweb : <http://www.hsc.fr/ressources/outils/babelweb> nikto, rfproxy, cgi-scan,... Copyright Hervé Schauer Consultants Reproduction Interdite Gestion des sessions RFC 2109: HTTP State Management Mechanism Doos and don ts of client authentication on the web Copyright Hervé Schauer Consultants Reproduction Interdite

33 Rappel Apache Installation d apache restrictions d accès Authentification et modules d authentification HTTPS le protocole attaques sur https Filtrage d URL et de contenu mod_rewrite cgi-wrapper Sécurité des applications Gestion des sessions Copyright Hervé Schauer Consultants Reproduction Interdite

34 Les caractéristiques de Linux en sécurité Denis Ducamp / Hervé Schauer Consultants Février 2002 Reproduction strictement interdite 1. Introduction Cette présentation va aborder deux aspects distincts : les principales fonctions de sécurité du noyau Linux 2.2 l'authentification avec PAM (Pluggable Authentication Modules) 1.1 Qu'est ce qu'un noyau? Le noyau est le coeur du système. Il peut être comparé à un "gros programme" qui serait chargé en mémoire à l'initialisation de la machine. Ses principales tâches sont de : gérer les systèmes d'entrées / sorties et les processus. distribuer aux processus les ressources en temps processeur et en mémoire. Les programmes accèdent aux fonctionnalités du noyau via les appels systèmes. 1.2 Les principales fonctions de sécurité de Linux 2.2 Les privilèges (capabilities) Les risques des modules La comptabilité Le chiffrement de systèmes de fichiers Divers : les patchs de sécurité, les distributions sécurisées et subterfugue. 2. Privilèges (capabilities) Qu'est ce qu'un privilège? Les privilèges linux Les privilèges des processus - Page 1 -

35 Gestion des processus Exemples de processus Les privilèges des fichiers exécutables Exemples de fichiers exécutables Références 2.1 Qu'est ce qu'un privilège? Sur un système Unix classique, le compte root (UID égal à 0) possède tous les droits. Il peut ainsi lire tous les fichiers et tuer tous les processus. Si un programme a besoin d'un privilège alors le processus devra avoir l'identité de root. Par exemple un programme de sauvegarde n'a besoin que de pouvoir lire tous les fichiers. En s'exécutant en tant que root, il obtient le contrôle total du système et peut donc tuer tous les processus. Les privilèges (capabilities) sont le partitionnement des privilèges du compte root (UID = 0) en droits unitaires. Il est ainsi possible d'allouer à des processus les seuls droits dont ils ont besoin. 2.2 Les privilèges linux Le système de privilèges utilisé est celui défini par le draft POSIX e "POSIX capabilities" qui est maintenant abandonné. Actuellement seuls les processus sont associés aux privilèges. Deux implémentations sont en cours de réalisation pour gérer les privilèges au niveau des fichiers exécutables. Chaque processus possède trois ensembles de privilèges : permitted(p) : les privilèges que le processus courant possède effective(e) : les privilèges que le processus courant peut exécuter inheritable(i) : les privilèges qui seront hérités par un processus fils 2.3 Les privilèges des processus L'implémentation du noyau 2.2 ne fait aucune référence à l'uid d'un processus pour savoir quels sont ses droits, seul l'ensemble de ses privilèges effectifs (E) est consulté. Sur un système Unix classique les processus appartenant à root possèdent tous les privilèges, les autres processus n'en possèdent aucun. Le privilège CAP_SETPCAP permet de changer les privilèges d'autres processus. Cette fonctionnalité n'existant pas sur un système classique, ce privilège n'est donné - Page 2 -

36 à aucun processus sous Linux 2.2. L'ensemble des privilèges est défini dans le fichier /usr/src/linux/include/linux/capability.h Afin d'avoir un système fonctionnel à base de privilèges il est nécessaire de modifier deux lignes dans les sources du noyau pour que les processus appartenant à root acquièrent ce privilège (voir FAQ). Il est possible depuis la version d'utiliser le fichier /proc/sys/kernel/cap-bound pour consulter l'ensemble des privilèges du système. Il est possible de supprimer des privilèges du système qui n'ont pas ou plus de raison d'être : CAP_NET_ADMIN, CAP_NET_RAW, CAP_SYS_MODULE, CAP_SYS_CHROOT L'utilitaire lcap disponible sur le site <http://pweb.netcom.com/~spoon/lcap/> permet de supprimer aisément des privilèges du système. 2.4 Gestion des processus Les deux utilitaires à connaître sont : execcap <caps> <command-path> command-args... permet d'exécuter un programme avec des privilèges réduits sucap <user> <group> <caps> <command-path> command-args... permet d'exécuter un programme avec des privilèges réduits en spécifiant l'utilisateur et le groupe d'exécution. Note : utiliser les utilitaires fournis avec une version 1.10 ou plus récente de la bibliothèque libcap (voir Références) 2.5 Exemples de processus Dans les exemples ci-dessous, le programme lancé est un serveur de tamagoshi qui ouvrira une socket sur un port privilégié (999). execcap cap_net_bind_service=eip /usr/local/bin/tama 999 Le processus est exécuté en tant que root mais ne possède que le droit d'ouvrir des ports privilégiés. Si le programme possède une vulnérabilité, alors il ne pourra être utilisé que pour accéder à des fichiers appartenant à root. sucap tama tama cap_net_bind_service=eip /usr/local/bin/tama 999 Le processus est exécuté en tant que tama mais possède le privilège d'ouvrir des ports privilégiés. Si le programme possède une vulnérabilité, alors il ne pourra être utilisé que pour accéder à des fichiers appartenant à tama. Il existe des conditions dans lesquelles le programme aura commencé à être exécuté par le système alors que ses privilèges ne lui auront pas encore été accordés. - Page 3 -

37 Ce problème sera réglé lorsque les privilèges seront gérés au niveau des fichiers. 2.6 Les privilèges des fichiers exécutables Deux implémentations sont en cours de développement : fcaps : VFS layer patchs for capabilities Permet d'accorder à tout fichier exécutable des privilèges. L'ensemble de ces privilèges sont enregistrés au niveau du système de fichiers. elfcap : Elf capabilities hack Permet de retirer des privilèges à tout fichier exécutable au format elf. L'ensemble de ces privilèges sont enregistrés au niveau de l'en-tête elf. 2.7 Exemples de fichiers exécutables Les exemples ci-dessous comparent les deux solutions pour le programme ping qui nécessite le privilège CAP_NET_RAW pour ouvrir une socket en mode raw. fcaps : ping n'a pas besoin d'être SUID root Le processus a pour identité celle de l'utilisateur qui l'a lancé. Les utilitaires nécessaires sont ceux fournis avec la libcap Le patch fcaps n'est pas sufisamment avancé pour être utilisé sur des systèmes en production. elfcap ping doit être SUID root Si l'administrateur utilise l'option adéquate lors de la définition des privilèges accordés alors le processus peut avoir pour identité celle de l'utilisateur qui l'a lancé; sinon il sera root. Les utilitaires nécessaires doivent être récupérés avec le patch. Le patch elfcap est suffisament avancé pour être utilisé sur des systèmes en production. Ce système est actuellement limité aux fichiers au format elf. 2.8 Références Linux Capabilities FAQ 0.2 <ftp://ftp.kernel.org/pub/linux/libs/security/linux-privs/kernel-2.2/capfaq-0.2.txt> ou <ftp://ftp.guardian.no/pub/free/linux/capabilities/capfaq.txt> libcap <ftp://ftp.kernel.org/pub/linux/libs/security/linux-privs/kernel-2.2/> et fcaps (+extended attributes, voir <http://acl.bestbits.at/>) : <ftp://ftp.kernel.org/pub/linux/libs/security/linux-privs/kernel-2.2-fcap/> pour Linux 2.2 ou <ftp://ftp.kernel.org/pub/linux/libs/security/linux-privs/kernel-2.4-fcap/> pour Linux 2.4. par Andrew Morgan : - Page 4 -

38 bibliothèque (libcap), utilitaires et patchs noyaux. Elf capabilities hack <http://atrey.karlin.mff.cuni.cz/~pavel/elfcap.html> par Pavel Machek : utilitaires et patchs noyaux (2.2.x seulement). 3. Les risques des modules Définitions Les risques Avantages pour l'administrateur Avantages pour les pirates 3.1 Définitions Un module est un morceau de code permettant d'ajouter des fonctionnalités au noyau : pilotes de périphériques matériels, protocoles réseaux, etc. Il peut être chargé dynamiquement sans avoir besoin de recompiler le noyau ou de redémarrer le système. Les modules sont exécutés dans l'espace mémoire du noyau : ils possèdent le contrôle total de la machine ils peuvent détourner ou créer un appel système 3.2 Les risques Les modules ne rentrent pas en jeu dans la sécurité d'un système Les modules possèdent le contrôle total de la machine et peuvent : permettre aux administrateurs d'améliorer la sécurité du système permettre aux pirates d'affaiblir la sécurité du système. 3.3 Les avantages pour l'administrateur Mettre à jour un pilote sans recompiler le noyau ni redémarrer le système. Détourner certains appels systèmes pour surveiller l'activité du système : rediriger ou journaliser les accès à certains fichiers journaliser les ajouts et les suppressions de modules; fonctions pouvant être soumises à l'authentification préalable de l'utilisateur. - Page 5 -

39 Voir <http://www.hsc.fr/ressources/breves/modules.html> qui montre comment les modules peuvent aider l'administrateur système à sécuriser sa station. 3.4 Les avantages pour les pirates Prendre le contrôle total de la machine en détournant des appels systèmes : modifier la configuration apparente de la machine : mode promiscuous cacher des fichiers : rendre invisible les fichiers commençant par un mot clé filtrer le contenu d'un fichier : ôter des journaux, les lignes contenant l'adresse IP du pirate détourner les demandes de changement d'identité : un compte utilisateur donné peut devenir administrateur sortir d'un environnement restreint (chroot) 3.5 Références cacher un processus : rendre invisibles les processus commençant par un mot clé rediriger l'exécution de programmes : installer des backdoor sans modifier les programmes originaux "(nearly) Complete Linux Loadable Kernel Modules" <http://www.thehackerschoice.com/papers/lkm_hacking.html> par pragmatic / THC : descriptions de nombreuses utilisations des modules sous Linux avec les sources pour Linux 2.0.3x Le même document existe pour : FreeBSD <http://www.thehackerschoice.com/papers/bsdkern.html> par pragmatic / THC Solaris <http://www.thehackerschoice.com/papers/slkm-1.0.html> par plasmoid / THC "lcamtuf::pliki" <http://dione.ids.pl/~lcamtuf/pliki.html> ou "lcamtuf::soft" <http://lcamtuf.coredump.cx/soft/> par Michal Zalewski / : de nombreux sources de modules ou de patchs noyaux pour Linux 2.0.3x ou 2.2.x - la majorité en polonais. Phrack Magazine <http://www.phrack.org/> : "Weakening the Linux Kernel" (Issue 52 article 18) par plaguez : description et sources d'un cheval de Troie s'initialisant par un module. "btrom" (Issue 54 article 03) par riq : description et sources d'un programme de détection et de désactivation de chevaux de Troie fonctionnant sur le modèle précédent. adore et knark : 2 root-kits en modules - Page 6 -

40 Voir <http://packetstorm.decepticons.org/> et voir <http://www.hsc.fr/tools/rkscan/> pour un détecteur (par force brute). 4. La comptabilité Enregistrement automatique par le noyau des ressources utilisées par chaque processus lors de leurs terminaisons : date de création utilisateur propriétaire nom de la commande utilisation de la mémoire terminal contrôlé temps processeur utilisé nombre d'entrées/sorties réalisées 4.1 Les utilitaires Les utilitaires nécessaires à l'utilisation des données de comptabilités sont ceux édités par GNU <http://www.gnu.org/> : acct tar.gz. Voir dans <ftp://ftp.gnu.org/gnu/acct/>. Cette archive renferme entre autres les utilitaires suivants : accton : active et désactive la comptabilité lastcomm : affiche des informations à propos des dernières commandes sa : résume les informations de comptabilité 4.2 Mise en route Pré-requis : le support noyau doit être activé. (sélectionner l'option "BSD Process Accounting" dans le menu "General setup") La comptabilité est activée par la commande accton /var/account/pacct Le journal doit exister avant l'appel à cette commande, il peut être préférable de restreindre les droits d'accès au journal. Le comportement de la comptabilité peut être modifié via l'entrée /proc/sys/kernel/acct qui contient 3 entrées : limite basse : espace libre nécessaire pour que la comptabilité reste active. limite haute : espace libre nécessaire pour que la comptabilité se réactive. - Page 7 -

41 fréquence : temps en secondes entre deux vérifications de l'espace libre. 4.3 Statistiques Les deux commandes suivantes permettent de synthétiser les données : sa : totalise pour chacune des commandes peut appliquer différents ordres de tris (entrées/sorties, temps processeurs et nombres d'appels). peut totaliser les temps processeurs pour chacun des utilisateurs. lastcomm : affiche les dernières commandes exécutées peut limiter l'affichage à un nom de commande, un nom d'utilisateur, un nom de terminal ou toute combinaison de plusieurs de ces trois précédents éléments. La commande dump-acct /var/account/pacct exporte au format texte le contenu du fichier de comptabilité. Il est ainsi possible de réaliser de façon simple ses propres statistiques avec des languages comme awk et perl. 5. Le chiffrement de systèmes de fichiers Fonctionnement Notes Algorithmes Exemple Références 5.1 Fonctionnement La commande losetup associe un loopback (périphérique virtuel) à une partition. Si un algorithme de chiffrement est sélectionné alors un mot de passe est demandé. L'opération de montage de la partition se fait en indiquant le loopback associé à la partition désirée. Toutes les données envoyées au loopback sont écrites chiffrées dans la partition. Lors d'une lecture dans le loopback, les données correspondantes sont lues dans la partition et déchiffrées en mémoire. 5.2 Notes à cause des lois sur l'exportation et l'utilisation de la cryptographie, les fonctionnalités de chiffrement de Linux ne peuvent être incluses dans la distribution standard. Des patchs officiels sont disponibles pour ajouter ces fonctions aux sources du - Page 8 -

42 noyau. Ces patchs sont disponibles sur le site <http://www.kernel.org/pub/linux/kernel/crypto/> les commandes losetup, mount et umount doivent être patchées pour supporter ces fonctionnalités. Les patchs nécessaires sont fournis avec les patchs du noyau. un fichier peut être associé à un loopback. Cela permet : de créer de petites partitions chiffrées qui peuvent être montées seulement lorsqu'elles sont nécessaires. de sauvegarder de façon sécurisée une partition vers un fichier chiffré. 5.3 Algorithmes Deux algorithmes ont été implémentés pour chiffrer des partitions : CAST-128 défini dans le RFC 2144; voir <http://www.entrust.com/> utilisé en mode ECB Twofish défini par Bruce Schneier, Doug Whiting, John Kelsey, Chris Hall et David Wagner; voir <http://www.counterpane.com> utilisé en mode CBC Une option permet d'utiliser en mode CBC n'importe lequel des dix algorithmes présents dans la bibliothèque pour chiffrer une partition. AES, Blowfish, 3DES, DES, DFC, IDEA, MARS, RC5, RC6 et Serpent. Les algorithmes de hachage MD5 et SHA1 sont également disponibles. 5.4 Exemple Sauvegarde de fichiers dans un fichier chiffré : # dd if=/dev/urandom of=~/mon_fichier bs=1k count=100 # losetup -e twofish /dev/loop0 ~/mon_fichier Password: # mkfs -t ext2 /dev/loop0 # mount -t ext2 /dev/loop0 ~/mnt # cp -pr ~/prive ~/mnt # umount /dev/loop0 # losetup -d /dev/loop0 5.5 Références Les patchs officiels pour les noyaux 2.2.x et 2.4.x sont disponibles sur le site ftp suivant : <ftp://ftp.kernel.org/pub/linux/kernel/crypto/> et depuis le site web correspondant : <http://www.kernel.org/pub/linux/kernel/crypto/> Des patchs existent pour les versions 2.0.3x dans <ftp://ftp.kerneli.org/pub/kerneli/netsource/loop/> (ne sont plus accessibles) loopback-berkeley-recent : DES et IDEA by Ian Goldberg - Page 9 -

43 loopback-device-aem : CAST et IDEA by Andrew E. Mileski Transparent Cryptographic File System <http://tcfs.dia.unisa.it/> : TCFS est un système de fichiers distribué fournissant un service similaire à NFS mais avec du chiffrement en 3DES, IDEA ou RC5. Ce système est développé au Dipartimento di Informatica ed Applicazioni of the Università di Salerno (Italy) et en cours de portage sur OpenBSD et NetBSD. 6. Divers Les fonctions présentées font partie du patch secure-linux <http://www.openwall.com/linux/> développé par Solar Designer ces fonctions sont disponibles pour les versions et Une version de test devrait être prochainement disponible pour les versions 2.4.x. Les distributions Linux présentées sont soit en cours de développement, soit en cours d'étude. La distribution Owl est basée sur la revue proactive de code source subterfugue est une nouvelle fonctionnalité de restriction d'accès du noyau Patchs de sécurité partition /proc restreinte : Chaque utilisateur n'a accès qu'aux données concernant ses propres processus Un groupe d'administration peut être désigné pour avoir accès : à toutes les données concernant tous les processus aux événements générés durant la période d'initialisation du système (dmesg). à toutes les données concernant les connexions actives. <http://underley.zakopane.top.pl/linux/restricted-procfs.html> ou <http://www.underley.eu.org/linux/> par Daniel Podlejski liens et tubes nommés restreints dans /tmp : un processus n'a accès à un lien ou à un tube nommé dans /tmp seulement s'il lui appartient ou qu'il appartient à root. <http://www.sekure.org/english/resources.html> (n'est plus disponible) par Sekure SDI <http://www.sekure.org/> (Brazilian Info Security Team) création des descripteurs de fichiers 0, 1 et 2 pour les programmes SUID ces fichiers possèdent des significations spéciales pour les librairies de nombreux programmes y accèdent en utilisant leurs numéros usuellement affectés pile non exécutable : la pile est rendue non exécutable afin d'empêcher la majorité des exploitations par débordement de buffer de fonctionner le principal problème est la gestion des programmes en glibc2.x qui utilisent les sauts par trampoline : le noyau doit détecter et émuler les sauts par trampoline il est (théoriquement) possible de duper cette fonctionalité et d'exécuter un - Page 10 -

44 débordement de buffer 6.2 Distributions sécurisées bastille-linux <http://bastille-linux.sourceforge.net/> : basée sur une distribution RedHat, le but est de constituer une distribution utilisable dans les universités et les établissements éducatifs. Le projet consiste aujourd'hui en un script de durcissement de systèmes : Redhat 5.2 à 6.2 et 7.x Mandrake 7.0 & 7.1 et 8.x SlackWare 7.0 & 7.1 Solaris 2.6 & 7!!! La version est disponible depuis le 19 octobre 2000 : bugs fixes... undo, extensibilité à d'autres distributions, log only... La version est disponible depuis le 11 juin 2001 : support de Red Hat 7 et Mandrake 8, nouvelle interface graphique utilisateur, grande amélioration de l'intelligence... La prochaine version supportera RedHat 7.2 et HP-UX. Stack-Guard <http://www.imunix.org/products.html#stackguard> : il s'agit d'un patch au compilateur gcc afin de générer du code auto-immune aux exploitations de débordements de tampons par exécution de code dans la pile. Cette méthode a montré à de maintes reprises son efficacité : les exploitations de faille de sécurité sont dans la quasi totalité de ce type. Une version de RedHat 5.2 entièrement recompilée est disponible. Il s'agit d'une approche complémentaire à : l'utilisation d'une pile non exécutable l'audit des codes sources. La version 2.O de stackguard est un port pour egcs et une version d'immunix OS 6.2 basé sur Red Hat 6.2 est disponible. Vulnérable si l'attaquant peut scanner le contenu de la pile : vulnérabilités des chaines de formats. Ex : wuftpd Une version "Immunix System 7" est disponible, intégrant d'autres outils de "tolérence aux vulnérabilités". Nexus Linux <http://www.lemuria.org/nexus/> : distribution s'adressant aux administrateurs dont la première préocupation est la sécurité, elle fournit par défaut OpenSSH et apache avec le support SSL. Cette distribution se trouve à l'état de développement : v0.5 Disponible sur le site <ftp://ftp.lemuria.org/pub/nexus/> Il s'agit en fait de l'ancienne distribution kha0s <http://www.kha0s.org/>. nmrcos <http://www.nmrc.org/nmrcos/> : le but est de fournir un système stable et sécurisé. Basée sur une distribution SlackWare avec un noyau , il intègre plusieurs patchs de sécurité pour le noyau : "Solar Designer's patch", "Trusted path support", "Probe Detection Patch", etc. Un script durcit les droits d'accès sur de nombreux fichiers sensibles. Après avoir été très longtemps "En cours de portage sous Linux ", la version beta de nmrcos est maintenant annoncée pour octobre slinux : le but est de fournir une distribution sécurisée "à tous les niveaux". Plus complète que les autres distributions, elle devrait fournir toutes les fonctions comme la gestion des - Page 11 -

45 privilèges, le chiffrement de partitions, etc. A l'heure actuelle, le développement de cette distribution n'a toujours pas commencé. Il s'agit en fait de l'ancienne distribution securelinux. 6.3 La distribution sécurisée : Owl Owl <http://www.openwall.com/owl/> : système d'exploitation à la sécurité améliorée destiné comme plate-forme de serveur. Utilise la revue proactive de code source pour plusieurs types de vulnérabilités logicielles. Actuellement, seuls les morceaux de code qui : sont exécutés avec des privilèges supérieurs à ceux d'un simple utilisateur et/ou traitent typiquement des données obtenues au travers du réseau sont audités avant que le composant logiciel correspondant soit inclus. Ceci couvre les suites de codes pertinentes dans : beaucoup des bibliothèques système, tous les programmes SUID/SGID, tous les démons et services réseau. Utilise de la cryptographie "forte" dans ses composants coeur Inclut déjà quelques capacités d'applications de politique de sécurité vérification proactive des mots de passe avec "pam_passwdqc", expiration de mots de passe et de comptes contrôle d'accès basé sur les adresses réseau) et de vérification d'intégrité ("mtree"). 6.4 subterfugue subterfugue permet de limiter les accès d'un processus et de ses descendants. par Mike Coleman téléchargement : Le noyau Linux supporte nativement subterfugue depuis pre1. il est possible : de restreindre les accès disques en spécifiant : les arborescences non accessibles les arborescences accessibles en lecture seulement les arborescences accessibles en lecture et écriture d'étendre les arguments à des noms de fichiers complets et d'y appliquer des expressions rationelles (regexp) de comptabiliser le nombre d'appels systèmes et de signaux d'interdire ou de limiter les accès réseaux d'interdire la fermeture des entrées / sorties standards et d'erreur d'interdire l'envoi de signaux à des processus "étrangers" de tracer les appels systèmes (en se limitant éventuellement à certains appels seulement) de restreindre les positionnements de droits d'accès (interdire les SUID, l'écriture - Page 12 -

46 pour tous...) 7. PAM (Pluggable Authentication Modules) Historiquement, l'authentification des utilisateurs sous Unix se basait sur la saisie d'un mot de passe et sa vérification à partir du fichier /etc/passwd. A chaque amélioration de ce schéma (/etc/shadow, mots de passe jetables...) tous les programmes (login, ftpd...) devaient être réécrits pour supporter ces nouvelles fonctionnalités. PAM se veut un mécanisme flexible d'authentification des utilisateurs. Les programmes supportant PAM doivent pouvoir se lier dynamiquement à des modules chargés d'effectuer l'authentification. L'ordre d'attachement des modules et leurs configurations sont à la charge de l'administrateur système qui gère cela de façon centralisée. 7.1 Configuration Chaque application PAM doit posséder un fichier de configuration dans le répertoire /etc/pam.d. Chacun de ces fichiers est composé de 4 colonnes : type de module : auth : authentification de l'utilisateur account : gestion des utilisateurs (ex : restrictions horaires) session : tâches à effectuer en début et fin de chaque session ex : montage de répertoires, contrôle des ressources password : mise à jour du jeton d'authentification de l'utilisateur contrôle de réussite required : la réussite d'au moins un des modules required est nécessaire requisite : la réussite de tous les modules requisite est nécessaire sufficient : la réussite d'un seul module sufficient est suffisant optional : la réussite d'au moins un des modules required est nécessaire si aucun autre n'a réussi chemin du module, en général dans /lib/security. arguments optionnels Le fichier /etc/pam.d/other fournit les configurations par défaut pour tout type de module non spécifié dans le fichier de configuration de l'application. 7.2 Quelques modules intéressants pam_cracklib : ce module utilise la bibliothèque cracklib pour vérifier la solidité d'un nouveau mot de passe. Il peut également vérifier que le nouveau mot de passe n'est pas construit à partir de l'ancien. pam_limits : ce module permet de limiter les ressources accessibles à un utilisateur et/ou à un groupe comme le nombre de processus simultanés et leurs temps CPU, le nombre de fichiers ouverts simultanés et leurs tailles, le nombre de connexions simultanées, etc. La configuration se fait via le fichier /etc/security/limits.conf - Page 13 -

47 pam_rootok : permet à root l'accès à un service sans avoir à rentrer de mot de passe. A n'utiliser qu'avec chfn ou chsh, surtout pas avec login. pam_time : permet de limiter les horaires d'accès. La configuration se fait via le fichier /etc/security/time.conf pam_wheel : ne permet l'accès au compte root qu'aux seuls membres du groupe wheel. A utiliser qu'avec su. pam_cap : ce module permet de forcer l'ensemble des privilèges accordés à un utilisateur. 7.3 Références <ftp://ftp.kernel.org/pub/linux/libs/pam/> : bibliothèques et programmes PAM pour Linux. <ftp://ftp.kernel.org/pub/linux/libs/pam/linux-pam-html/> : The Linux-PAM System Administrators' Guide <ftp://ftp.kernel.org/pub/linux/libs/pam/linux-pam-html/pam.html> par Andrew G. Morgan The Linux-PAM Application Developers' Guide <ftp://ftp.kernel.org/pub/linux/libs/pam/linux-pam-html/pam_appl.html> par Andrew G. Morgan The Linux-PAM Module Writers' Guide <ftp://ftp.kernel.org/pub/linux/libs/pam/linux-pam-html/pam_modules.html> par Andrew G. Morgan Unified Login With Pluggable Authentication Modules <http://www.pilgrim.umass.edu/pub/osf_dce/rfc/rfc86.0.txt> : Open Software Foundation Request For Comments 86.0 par V. Samar and R. Schemers (SunSoft) Hervé Schauer Consultants bis, rue de la gare Levallois-Perret Téléphone : Télécopie : Courriel : - Page 14 -

48 Les firewalls libres : netfilter, IP Filter et Packet Filter Linux Expo Paris 1er Février 2002 Jean-Baptiste Marchand Hervé Schauer Consultants Firewalls libres : netfilter, IP Filter et Packet Filter p.1 Firewalls Firewalls Logiciel de contrôle d accès au niveau réseau Fonctionnalité principale : filtrage IP Fonctionnalité supplémentaire souvent présente : traduction d adresses et de ports Filtrage IP Idée : contrôler les paquets IP autorisés à atteindre un hôte Intérêt : sécuriser un hôte de façon globale (au niveau réseau) Traduction d addresses et de ports Idée : récrire les en-têtes des paquets Intérêt : faire face à la pénurie d adresses routables sur l Internet Firewalls libres : netfilter, IP Filter et Packet Filter p.2

49 netfilter Firewalls libres Filtre de paquets du noyau Linux 2.4 Successeur d IPchains (Linux 2.2) Conçu par Paul "Rusty" Russell Développé par un noyau dur de 5 personnes Contributions pour des améliorations ou corrections IP Filter Filtre de paquets fonctionnant sous Unix libres et propriétaires Intégré dans FreeBSD et NetBSD Conçu et développé par Darren Reed Packet Filter Filtre de paquets dans OpenBSD (à partir de la version 3.0) Conçu par Daniel Hartmeier Développé par l équipe d OpenBSD Firewalls libres : netfilter, IP Filter et Packet Filter p.3 Filtrage IP standard Critères Interface réseau : entrée ou sortie Adresses IP (source et destination) : hôte ou sous-réseau Champs de l en-tête IP Fragmentation TOS et TTL Options IP Protocoles de niveau 4 : TCP, UDP et ICMP Ports source et destination (TCP et UDP) Drapeaux (TCP) Types et codes (ICMP) Actions Laisser passer Bloquer (façon silencieuse) Rejeter (message ICMP ou segment TCP avec drapeau RST) Firewalls libres : netfilter, IP Filter et Packet Filter p.4

50 Filtrage à états Principe Filtrage dynamique, en conservant des états pour les communications en cours Seuls des paquets correspondants à un état pré-existant sont acceptés Intérêt Simplifie l écriture des règles de filtrage Améliore la sécurité, en n autorisant que le trafic effectivement licite Protocoles TCP Segments appartenant à une connexion TCP en cours UDP Datagrammes en réponse à un datagramme UDP émis Messages ICMP d erreur ICMP Messages ICMP en réponse à un message ICMP émis Firewalls libres : netfilter, IP Filter et Packet Filter p.5 Filtrage à états : mise en oeuvre Mise en oeuvre Création d un état lors de la traversée du premier paquet Mémorisation de paramètres identifiant de façon unique une communication Validation des paquets par comparaison des états courants Expiration des états après un temps paramétrable Paramètres conservés TCP Adresses source et destination Ports source et destination Type, code, identifiant et numéro de séquence (ICMP) S assurer que des segments TCP font partie d une connexion en cours est complexe Real Stateful TCP Packet Filtering in Ipfilter Firewalls libres : netfilter, IP Filter et Packet Filter p.6

51 Traduction d adresses et de ports Traduction d adresses Uni-directionnelle Traduction en sortie d adresses (typiquement) privées en adresse(s) publique(s) Possibilité de changer le port source Bi-directionnelle Traduction d une adresse (typiquement) publique en une adresse (typiquement) privée et réciproquement Redirection de ports Rediriction d un port en entrée vers un autre, en modifiant l adresse de destination ou non Mise en oeuvre Fonctionnalités présentes dans netfilter, IP Filter et Packet Filter Ne sont pas détaillées ici Firewalls libres : netfilter, IP Filter et Packet Filter p.7 netfilter : chaînes Règles de filtrage placées dans des chaînes Chaîne : sous-programme Règles de filtrage : instructions Une des 3 chaînes standards est obligatoirement traversée : INPUT : paquets à destination de la machine locale OUTPUT : paquets émis par la machine locale FORWARD : paquets transitant par la machine locale Incoming / \ Outgoing -->[Routing ]---> FORWARD > [Decision] \ / ˆ v / \ / \ OUTPUT INPUT \ / \ / ˆ ----> Local Process ---- (c) 2002 Rusty Russell Firewalls libres : netfilter, IP Filter et Packet Filter p.8

52 netfilter : règles de filtrage Règles de filtrage Selection du trafic Cible à atteindre Cibles Classiques ACCEPT : paquet accepté DROP : paquet rejeté de façon silencieuse REJECT : paquet rejeté en informant l émetteur RETURN fin du parcours d une chaîne utilisateur cible par défaut dans les chaînes INPUT, OUTPUT ou FORWARD Journalisation LOG : paquet journalisé Extension du filtrage QUEUE redirection du paquet vers une application en mode utilisateur la décision de filtrage est prise par l application Firewalls libres : netfilter, IP Filter et Packet Filter p.9 netfilter : critères de filtrage Critères de filtrage classiques IP, TCP, UDP, ICMP Spécification des interfaces réseau Chaîne INPUT : interface d entrée Chaîne OUTPUT : interface de sortie Chaîne FORWARD : interfaces d entrée et de sortie Critères de filtrages moins classiques Filtrage par adresses MAC Filtrage sur l origine d un paquet local uid, gid, pid, sid du processus émetteur Firewalls libres : netfilter, IP Filter et Packet Filter p.10

53 netfilter : filtrage à états Protocoles TCP, UDP et ICMP Options permettant de comparer le trafic aux états NEW : création d un nouvel état ESTABLISHED : paquet appartenant à une communication en cours RELATED : paquet lié à une communication en cours Message ICMP d erreur Trafic lié au fonctionnement d un protocole applicatif INVALID : paquet non-identifié parmi les communications en cours Stratégie Créer un état au début de communication avec NEW Accepter les paquets liés aux communications en cours ESTABLISHED RELATED Firewalls libres : netfilter, IP Filter et Packet Filter p.11 netfilter : écriture de règles Règles Options du programme iptables Evaluation Parcourues depuis le début de la chaîne Arrêt du parcours en cas de correspondance d une règle Politique par défaut en fin des chaînes standards Retour à la chaîne parente en fin des chaînes utilisateurs Chaînes utilisateurs Possibilité de créer de nouvelles chaînes Améliore l efficacité du filtrage Regroupe des règles liées à un même type de trafic Chaînes Placer une politique par défaut pour les chaînes standards Ajouter les règles en fin de chaîne Firewalls libres : netfilter, IP Filter et Packet Filter p.12

54 netfilter : exemple IFACE=eth0 MYLAN= MYWKS= MYDNS= MYADDR= # vide les chaînes standards iptables --flush # chaînes standards bloquent par défaut iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -P FORWARD DROP # Filtrage à états iptables -A OUTPUT -i $IFACE -m state --state ESTABLISHED, RELATED -j ACCEPT iptables -A INPUT -i $IFACE -m state --state ESTABLISHED, RELATED -j ACCEPT # Administration par SSH iptables -A INPUT -i $IFACE -p tcp -s $MYWKS --sport 1024: d $MYADDR --dport 22 \ -m state --state NEW -j ACCEPT # Résolution DNS iptables -A OUTPUT -i $IFACE -p udp -s $MYADDR --sport 1024: d $MYDNS --dport 53 \ -m state --state NEW -j ACCEPT # Surveillance avec ping(1) iptables -A OUTPUT -i $IFACE -p icmp -s $MYADDR --icmp-type echo-request -d $MYLAN \ -m state --state NEW -j ACCEPT Firewalls libres : netfilter, IP Filter et Packet Filter p.13 IP Filter : généralités Fonctionnement Ordre 1. Filtrage en entrée 2. Traitement TCP/IP du noyau 3. Filtrage en sortie Schéma Règles avalon/ipfil-flow.html Spécifiées dans un fichier de configuration Syntaxe aisément compréhensible Possibilité de créer des groupes de règles Regroupement de règles portant sur un même type de trafic Mot clés head et group Deux jeux de règles possibles Actif Inactif Firewalls libres : netfilter, IP Filter et Packet Filter p.14

55 IP Filter : règles de filtrage Évaluation des règles Lues dans l ordre du fichier Celle qui s applique est la dernière Mot clé quick permet d arrêter le parcours des règles Filtrage à états keep frags autorise les fragments d un paquet en cours de réassemblage keep state autorise les paquets appartenant à une communication en cours Règles ne sont pas évaluées si le filtrage à états valide un datagramme Journalisation Option log au niveau d une règle Programme ipmon(8), journalisation via syslogd(8) Firewalls libres : netfilter, IP Filter et Packet Filter p.15 IP Filter : exemple ipf.conf # Administration par SSH pass in on xl0 proto tcp from port > 1023 to port = 22 \ flags S/SA keep state # Résolution DNS pass out on xl0 proto udp from port > 1023 to port = 53 \ keep state # Administraton avec ping(1) pass out on xl0 proto icmp from icmp-type echo to /24 \ keep state block in on xl0 all block out on xl0 all Chargement des règles ipf -Fa -f /etc/ipf.conf Statistiques ipfstat Firewalls libres : netfilter, IP Filter et Packet Filter p.16

56 Packet Filter : généralités Historique Nouveau filtre de paquets pour OpenBSD 3.0 Mêmes fonctionnalités qu IP Filter Maintenu par les développeurs de l équipe d OpenBSD Fonctionnalités nouvelles Normalisation des paquets Protège les piles TCP/IP fragiles contre des paquets anormaux Vérifie et supprime certaines anomalies dans les en-têtes Réassemble les fragments Action scrub Renforcement des numéros de séquences initiaux (ISN) TCP Pour des systèmes dont les ISNs sont prévisibles car trop peu aléatoires Option modulate state Ponts filtrants Ponts Ethernet en standard sous OpenBSD : bridge(4) Filtrage sur l une des interfaces avec Packet Filter Firewalls libres : netfilter, IP Filter et Packet Filter p.17 Packet Filter : règles de filtrage Règles Syntaxe très proche de celle d IP Filter Sucre syntaxique pour écrire des règles de façon plus synthétique Ensembles (sets) regroupant des listes d attributs Définition et expansion de variables Même mode d évaluation qu IP Filter Journalisation Option log au niveau d une règle Paquets journalisés sur l interface pflog0 Journalisation au format tcpdump(8) avec pflogd(8) Différences avec IP Filter Ordre des règles optimisée à la volée Options head et group inutiles et non-supportées Gestion des fragments option keep frags remplacé par la directive scrub Firewalls libres : netfilter, IP Filter et Packet Filter p.18

57 Packet Filter : exemple # Extrait de la section 6 de la FAQ d OpenBSD # # # Define useful variables ExtIF="fxp0" # External Interface IntNet=" /24" # Our internal network NoRouteIPs="{ /8, /16, /12, /8 }" Services="{ www, https }" # Clean up fragmented and abnormal packets scrub in all # don t allow anyone to spoof non-routeable addresses block in quick on $ExtIF from $NoRouteIPs to any block out quick on $ExtIF from any to $NoRouteIPs # only allow our machines to connect via ssh pass in quick on $ExtIF inet proto tcp from $IntNet to any port = 22 # allow others to use http and https pass in quick on $ExtIF inet proto tcp from any to any port $Services flags S/SA # finally lock the rest down with a default deny block in quick on $ExtIF from any to any # and let out-going traffic out and maintain state on established connections pass out on $ExtIF from any to any keep state Firewalls libres : netfilter, IP Filter et Packet Filter p.19 netfilter/iptables Références : netfilter HOWTO Networking Concepts HOWTO Packet Filtering HOWTO NAT HOWTO Les caractéristiques de netfilter sous Linux 2.4 Firewalls libres : netfilter, IP Filter et Packet Filter p.20

58 IP Filter Références : IP Filter Pages de manuel FreeBSD et NetBSD ipf(5), ipf(8) IP Filter HOWTO Traduction française par IDEALX : Fonctionnalités avancées (des règles) d ipfilter Présentation de IP Filter à la BSDCON Firewalls libres : netfilter, IP Filter et Packet Filter p.21 Références : Packet Filter OpenBSD Packet Filter Pages de manuel OpenBSD pf.conf(5), pfctl(8) Section 6 de la FAQ OpenBSD The OpenBSD Packet Filter HOWTO Traduction française par IDEALX : Firewalls libres : netfilter, IP Filter et Packet Filter p.22

59 Gestion des certificats Linux-Expo Paris 1er Février 2002 Franck Davy Hervé Schauer Consultants <http://www.hsc.fr/> Plan Introduction Format des certificats X.509 Gestion du cycle de vie Exemples d utilisation Exemple de PKI Opensource : IDX-PKI, par IDEAL X

60 Introduction Format des certificats X.509

61 Format des certificats X.509 (1/2) Historique Norme ITU-T X.509 (recommandations X.500) Version 1 (1988) : définition des champs de base Version 2 (1993) : 2 champs optionnels Version 3 (1996) : extensions (notion de criticité) Description ASN.1 (Abstract Syntax Notation 1) Syntaxe abstraite normalisée (X.208) Syntaxe de transfert unique Règles de codage distinctives DER PEM : DER en base64 Exemple : Certificate ::= SEQUENCE { TBSCertificate ::= SEQUENCE { tbscertificate TBSCertificate, version [0] EXPLICIT Version DEFAULT v1, signaturealgorithm AlgorithmIdentifier, serialnumber CertificateSerialNumber, signaturevalue BIT STRING } signature AlgorithmIdentifier, issuer Name, validity Validity, subject Name, subjectpublickeyinfo SubjectPublicKeyInfo, issueruniqueid [1] IMPLICIT UniqueIdentifier OPTIONAL, -- If present, version shall be v2 or v3 subjectuniqueid [2] IMPLICIT UniqueIdentifier OPTIONAL, -- If present, version shall be v2 or v3 extensions [3] EXPLICIT Extensions OPTIONAL Format des certificats X.509 (2/2) Certificate: Data: Version: 3 (0x2) Serial Number: 0 (0x0) Signature Algorithm: sha1withrsaencryption Issuer: C=FR, O=FOO, CN=FOO CA Validity Not Before: Jun 30 0:00: GMT Not After : Jun 30 23:59: GMT Subject: C=FR, O=FOO, CN=FOO CA Subject Public Key Info: Public Key Algorithm: rsaencryption RSA Public Key: (2048 bit) Modulus (2048 bit): af:07:f2:91:b2:da:8d:ca:8c:5f:7c:28:3c:7c:89: [...] 6c:06 Exponent: (0x10001) X509v3 extensions: X509v3 Basic Constraints: CA:TRUE, pathlen:4 X509v3 Key Usage: Certificate Sign, CRL Sign X509v3 CRL Distribution Points: URI:http://bar/crl/foobar.crl Signature Algorithm: sha1withrsaencryption 04:6e:50:ee:7b:4a:01:02:63:bf:42:36:d6:be:0c:fe:22:0c: [...] 94:d6:aa

62 Extensions X.509 (v3) (1/2) Notion de criticité d une extension Contraintes d utilisation Clé publique de chiffrement/signature/échange de clé Exigences de sécurité Mécanisme de recouvrement Service de non répudiation Contraintes sur l itinéraire de certification Longueur maximale de la chaîne de certification Informations diverses Points de publication Listes de révocation Serveur OCSP Politique de certification Extensions propriétaires Extensions X.509 (v3) (2/2) Itinéraire de certification X509v3 Basic Constraints: CA:TRUE, pathlen:10 Recommandations d usage de la clé publique X509v3 Key Usage: Certificate Sign, CRL Sign X509v3 Extended Key Usage: TLS Web Client Authentication, Protection Points de publication Listes de révocation X509v3 CRL Distribution Points: URI:http://crl/ac.crl DNS:ldap.crl.com DirName:/C=FR/O=/OU=AC/CN=CRL Serveur OCSP Authority Information Access: OCSP - URI:http://ocsp/ Politique de certification X509v3 Certificate Policies: Policy: CPS: https://foobar/cps User Notice: Explicit Text: FOOBAR s CPS

63 Profil PKIX Description Groupe de travail IETF (1995) Objectif : développer pour l internet une PKI fondée sur les certificats X.509 Composantes Instanciation des certificats X.509v3 et des listes de révocations X.509 pour une infrastructure adaptée à l Internet [RFC2459] Protocoles d exploitation [RFC2559, RFC2585] Distributions des certificats et listes de révocation. Protocoles de gestion [RFC2510] Dialogues entre le différentes entités de la PKI. Règles d usage et considérations pratiques [RFC2527] Exigences de sécurité En matière d identification des sujets, de révocation des certificats Infrastructure générale C e < > End entity r Operational t transactions ^ and management Management / transactions transactions PKI users C v R L ^ ^ PKI management v entities R e < RA <---+ p Publish certificate o s I v v t o < CA r Publish certificate y Publish CRL ^ Management transactions v CA Gestion du cycle de vie RFC 2459 : 3 Overview of Approach

64 Cycle de vie : Création / Révocation (1/5) OpenSSL Version stable : 0.9.6c (21/12/2001) Snapshot : ftp://ftp.openssl.org/snapshot/ openssl(1) Génération du bi-clé genrsa(1), gendsa(1), gendh(1) $ openssl genrsa -out cert.key -des Bi-clé RSA de 2048 bits, chiffré 3DES-CBC Format PEM [RFC1421] -----BEGIN RSA PRIVATE KEY----- Proc-Type: 4,ENCRYPTED DEK-Info: DES-EDE3-CBC,B C4F58986 HEtRjSj9kJcQvvYg9ZtXYLc658zyrtFNTE+1/KHJ+TWJVNjfoW6gKmen96nlEZVs [...] CWD2hdXv+BoLN2JA3XQXJ0vZro+WJlP2MprbweVmVMFetrIWWAzn8Qf2z0FnPxyb -----END RSA PRIVATE KEY----- Cycle de vie : Création / Révocation (2/5) Génération de la demande de certificat req(1) $ openssl req -new (-x509) -key cert.key -out req.csr -config./openssl.cnf You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter., the field will be left blank Pays [FR]: Localite (e.g. Ville) [Levallois-Perret]: Organisation [Herve Schauer Consultants]: Nom ou URL []:Franck Davy Adresse Challenge []:secret Bi-clé généré localement Support : disque dur, carte à puce, carte PCMCIA (openssl-engine) Transmission de la demande à l autorité d enregistrement Validation : vérification "hors-bande" du challenge Signature par l autorité de certification Publication dans un annuaire

65 Cycle de vie : Création / Révocation (3/5) Extrait du fichier openssl.cnf : [ v3_req ] basicconstraints = CA:FALSE keyusage = nonrepudiation, digitalsignature, keyencipherment Demande de certificat : Certificate Request: Data: Version: 0 (0x0) Subject: C=FR, ST=Ile-de-France, L=Levallois-Perret, O=Herve Schauer Consultants, CN=Franck Subject Public Key Info: Public Key Algorithm: rsaencryption RSA Public Key: (1024 bit) Modulus (1024 bit): 00:c4:b9:c2:8f:93:f8:1e:5c:ed:e3:a9:c6:de:ea: [...] a5:ba:c1:b2:cb:43:34:aa:47 Exponent: (0x10001) Attributes: Requested Extensions: X509v3 Basic Constraints: CA:FALSE X509v3 Key Usage: Digital Signature, Non Repudiation, Key Encipherment Signature Algorithm: md5withrsaencryption 11:89:4d:74:59:3a:c4:07:c2:50:e4:e9:80:54:a7:c3:d3:6c: [...] 95:64 Cycle de vie : Création / Révocation (4/5) Signature de la demande de certificat $ openssl ca -config./openssl.cnf -extensions CLIENT_RSA_SSL -infiles req.crs -out client.pem Using configuration from openssl.cnf Enter PEM pass phrase: Check that the request matches the signature Signature ok The Subjects Distinguished Name is as follows countryname :PRINTABLE: FR stateorprovincename :PRINTABLE: Ile-de-France organizationname :PRINTABLE: Herve Schauer Consultants commonname :PRINTABLE: Franck Davy address :IA5STRING: challengepassword :PRINTABLE: secret Certificate is to be certified until Jun 30 23:59: GMT (365 days) Sign the certificate? [y/n]:y 1 out of 1 certificate requests certified, commit? [y/n]y Write out database with 1 new entries Data Base Updated

66 Cycle de vie : Création / Révocation (5/5) Révocation d un certificat $ openssl ca -config./openssl.cnf -revoke client.pem Enter PEM pass phrase: Revoking Certificate 04. Data Base Updated $ openssl ca -config./openssl.cnf -gencrl -crldays 30 Enter PEM pass phrase: -----BEGIN X509 CRL----- MIIBaDCB0jANBgkqhkiG9w0BAQQFADB5MQswCQYDVQQGEwJGUjEWMBQGA1UECBMN [...] 3w2288WnwoBuJWkdoQpvFM3FtjI9iqczebqL6g== -----END X509 CRL----- Certificate Revocation List (CRL): Version 1 (0x0) Signature Algorithm: md5withrsaencryption Issuer: /C=FR/L=Levallois-Perret/O=Herve Schauer Consultants/CN=CA SSL Last Update: Jul 30 23:59: GMT Next Update: Aug 30 23:59: GMT Revoked Certificates: Serial Number: 04 Revocation Date: Jun 28 12:49: GMT Signature Algorithm: md5withrsaencryption 2d:5f:0e:74:5e:1c:98:a5:f7:da:9c:20:06:ad:cd:72:a2:72: [...] 8b:ea Cycle de vie : Publication (1/3) Publication des : Certificats des autorités de certification/révocation Certificats des Entités terminales Listes de Révocation Publication via LDAP : Schema core : objectclass certificationauthority ( ) Attributs : authorityrevocationlist, cacertificate, certificaterevocationlist Schema inetorgperson : objectclass inetorgperson ( ) Attribut : usercertificate dn: cn=cdp, o=ca, c=fr certificaterevocationlist;binary:: MIIBJjCBkgIBATANBgkqhkiG9w0BAQUFADBBMQswCQY [...] tsyl7hmtqh/0z2hhjv63yek1hljuj4s//53cwnzfym+607g== certificaterevocationlist;base64:: TUlJQkpqQ0JrZ0lCQVRBTkJna3Foa2lHOXcwQkFRVUZ [...] BREJCTVFzd0NRWURWUVFHRXdKR1VqRVRNQkVHQTFVRQpDaE1LUTJWeWRHbE9iMjFwY3pFZE1Cc0dB objectclass: top objectclass: crldistributionpoint cn: CDP LDAP-Implementation-HOWTO Passerelle HTTP/LDAP :

67 Cycle de vie : Publication (2/3) Publication via HTTP : Types MIME [RFC2585].cer application/pkix-cert.crl application/pkix-crl Autres.cer application/x-x509-ca-cert.crl application/pkcs-crl.crt application/pkix-cert.crt application/x-x509-ca-cert.crt application/x-x509-user-cert Certificats et listes de révocation au format PEM Format et extensions Extension crldistributionpoints X509v3 CRL Distribution Points: URI:http://bar/crl/foobar.crl Fichier openssl.cnf (extensions req ou ca) crldistributionpoints [crl_dp] URI.1 = URI.2 = Cycle de vie : Publication (3/3) Vérification via OCSP Validation en ligne via interrogation d un serveur OCSP Requête HTTP avec méthode POST Format et extensions Extension authorityinfoaccess ( ) Authority Information Access: OCSP - URI:http://foobar/ Fichier openssl.cnf (extensions req ou ca) authorityinfoaccess = OCSP;URI:http://foobar/

68 Exemples d utilisation et Démonstrations Exemple de PKI Opensource : IDX-PKI, par IDEAL X <http://idx-pki.idealx.org/>

Principales applications de Linux en sécurité

Principales applications de Linux en sécurité Principales applications de Linux en sécurité Journée du Logiciel Libre Montpellier - 22 Novembre 2002 Denis Ducamp Hervé Schauer Consultants - http://www.hsc.fr/ (c) 1998-2002 Hervé Schauer Consultants

Plus en détail

Les firewalls libres : netfilter, IP Filter et Packet Filter

Les firewalls libres : netfilter, IP Filter et Packet Filter Les firewalls libres : netfilter, IP Filter et Packet Filter Linux Expo Paris 1er Février 2002 Jean-Baptiste Marchand Jean-Baptiste.Marchand@hsc.fr Hervé Schauer Consultants Firewalls libres : netfilter,

Plus en détail

LINUX - Sécurité. Déroulé de l'action. - 3 jours - Contenu de formation

LINUX - Sécurité. Déroulé de l'action. - 3 jours - Contenu de formation Objectif : Tout administrateur système et réseau souhaitant avoir une vision d'ensemble des problèmes de sécurité informatique et des solutions existantes dans l'environnement Linux. Prérequis : Connaissance

Plus en détail

Tunnels et VPN. 20/02/2008 Formation Permanente Paris6 86. Sécurisation des communications

Tunnels et VPN. 20/02/2008 Formation Permanente Paris6 86. Sécurisation des communications Tunnels et VPN 20/02/2008 Formation Permanente Paris6 86 Sécurisation des communications Remplacement ou sécurisation de tous les protocoles ne chiffrant pas l authentification + éventuellement chiffrement

Plus en détail

Linux. Sécuriser un réseau. 3 e édition. l Admin. Cahiers. Bernard Boutherin Benoit Delaunay. Collection dirigée par Nat Makarévitch

Linux. Sécuriser un réseau. 3 e édition. l Admin. Cahiers. Bernard Boutherin Benoit Delaunay. Collection dirigée par Nat Makarévitch Bernard Boutherin Benoit Delaunay Cahiers de l Admin Linux Sécuriser un réseau 3 e édition Collection dirigée par Nat Makarévitch Groupe Eyrolles, 2003, 2004, 2007, ISBN : 2-212-11960-7, ISBN 13 : 978-2-212-11960-2

Plus en détail

Sensibilisation à la sécurité informatique

Sensibilisation à la sécurité informatique Sensibilisation à la sécurité informatique Michel Salomon IUT de Belfort-Montbéliard Département d informatique Michel Salomon Sécurité 1 / 25 Sensibilisation à la sécurité informatique Généralités et

Plus en détail

Plan. Les pare-feux (Firewalls) Chapitre II. Introduction. Notions de base - Modèle de référence OSI : 7 couches. Introduction

Plan. Les pare-feux (Firewalls) Chapitre II. Introduction. Notions de base - Modèle de référence OSI : 7 couches. Introduction Plan Introduction Chapitre II Les pare-feux (Firewalls) Licence Appliquée en STIC L2 - option Sécurité des Réseaux Yacine DJEMAIEL ISET Com Notions de base relatives au réseau Définition d un pare-feu

Plus en détail

Tunnels et VPN. 22/01/2009 Formation Permanente Paris6 86

Tunnels et VPN. 22/01/2009 Formation Permanente Paris6 86 Tunnels et VPN 22/01/2009 Formation Permanente Paris6 86 Sécurisation des communications Remplacement ou sécurisation de tous les protocoles ne chiffrant pas l authentification + éventuellement chiffrement

Plus en détail

Sécurité des réseaux Firewalls

Sécurité des réseaux Firewalls Sécurité des réseaux Firewalls A. Guermouche A. Guermouche Cours 1 : Firewalls 1 Plan 1. Firewall? 2. DMZ 3. Proxy 4. Logiciels de filtrage de paquets 5. Ipfwadm 6. Ipchains 7. Iptables 8. Iptables et

Plus en détail

Proxy et reverse proxy. Serveurs mandataires et relais inverses

Proxy et reverse proxy. Serveurs mandataires et relais inverses Serveurs mandataires et relais inverses Qu'est-ce qu'un proxy? Proxy = mandataire (traduction) Un proxy est un service mandataire pour une application donnée. C'est à dire qu'il sert d'intermédiaire dans

Plus en détail

Configurer un pare-feu avec NETFILTER

Configurer un pare-feu avec NETFILTER Configurer un pare-feu avec NETFILTER Netfilter est le firewall des distributions linux récentes pris en charge depuis les noyaux 2.4. Il est le remplaçant de ipchains. La configuration se fait en grande

Plus en détail

Laboratoire Télécom&Réseaux TP M1 2005/2006 SECURITE - IPTABLES

Laboratoire Télécom&Réseaux TP M1 2005/2006 SECURITE - IPTABLES SECURITE - IPTABLES Conception d'une zone démilitarisée (DeMilitarized Zone: DMZ) Veuillez indiquer les informations suivantes : Binômes Nom Station ou PC D. Essayed-Messaoudi Page 1 sur 9 TP 4 : Sécurité

Plus en détail

S E C U R I N E T S C l u b d e l a s é c u r i t é i n f o r m a t i q u e I N S A T. Atelier IDS. Snort. Outil de Détection d intrusion

S E C U R I N E T S C l u b d e l a s é c u r i t é i n f o r m a t i q u e I N S A T. Atelier IDS. Snort. Outil de Détection d intrusion Atelier IDS Snort Outil de Détection d intrusion Introduction Les systèmes de détection d intrusion ou IDS pour (Intrusion Detection System) sont indispensables pour la sécurité du réseau, ils permettent

Plus en détail

Expérience d un hébergeur public dans la sécurisation des sites Web, CCK. Hinda Feriani Ghariani Samedi 2 avril 2005 Hammamet

Expérience d un hébergeur public dans la sécurisation des sites Web, CCK. Hinda Feriani Ghariani Samedi 2 avril 2005 Hammamet Expérience d un hébergeur public dans la sécurisation des sites Web, CCK Hinda Feriani Ghariani Samedi 2 avril 2005 Hammamet Plan Introduction Sécurisation des sites Web hébergés a Conclusion Introduction

Plus en détail

Cible de sécurité CSPN

Cible de sécurité CSPN Cible de sécurité CSPN Dropbear 2012.55 Ref 12-06-037-CSPN-cible-dropbear Version 1.0 Date June 01, 2012 Quarkslab SARL 71 73 avenue des Ternes 75017 Paris France Table des matières 1 Identification 3

Plus en détail

Figure 1a. Réseau intranet avec pare feu et NAT.

Figure 1a. Réseau intranet avec pare feu et NAT. TD : Sécurité réseau avec Pare Feu, NAT et DMZ 1. Principes de fonctionnement de la sécurité réseau Historiquement, ni le réseau Internet, ni aucun des protocoles de la suite TCP/IP n était sécurisé. L

Plus en détail

LINUX REDHAT, SERVICES RÉSEAUX/INTERNET

LINUX REDHAT, SERVICES RÉSEAUX/INTERNET LINUX REDHAT, SERVICES RÉSEAUX/INTERNET Réf: LIH Durée : 4 jours (7 heures) OBJECTIFS DE LA FORMATION Ce cours pratique vous permettra de maîtriser le fonctionnement des services réseaux sous Linux RedHat.

Plus en détail

Netfilter & Iptables. Théorie Firewall. Autoriser le trafic entrant d'une connexion déjà établie. Permettre le trafic entrant sur un port spécifique

Netfilter & Iptables. Théorie Firewall. Autoriser le trafic entrant d'une connexion déjà établie. Permettre le trafic entrant sur un port spécifique Page 1 sur 5 Article original traduit par Kmeleon, refonte de eks. Provenant de ubuntu-fr.org Netfilter & Iptables Netfilter est un module du noyau Linux (depuis la version 2.4) qui offre la possibilité

Plus en détail

Introduction...3. Objectif...3. Manipulations...3. Gestion des utilisateurs et des groupes...4. Introduction...4. Les fichiers de base...

Introduction...3. Objectif...3. Manipulations...3. Gestion des utilisateurs et des groupes...4. Introduction...4. Les fichiers de base... Système d'exploitation Sommaire Introduction...3 Objectif...3 Manipulations...3 Gestion des utilisateurs et des groupes...4 Introduction...4 Les fichiers de base...4 Quelques commandes d'administration...5

Plus en détail

Pré-requis. Objectifs. Page 164 Chapitre 5. LINUX - Préparation à la certification LPIC-2

Pré-requis. Objectifs. Page 164 Chapitre 5. LINUX - Préparation à la certification LPIC-2 Page 164 Chapitre 5 LINUX Pré-requis - et Préparation objectifs à la certification LPIC-2 Pré-requis Authentification des utilisateurs Les connaissances acquises lors de la certification LPI niveau 1,

Plus en détail

Nmap (Network Mapper) Outil d exploration réseau et scanneur de ports/sécurité

Nmap (Network Mapper) Outil d exploration réseau et scanneur de ports/sécurité Nmap (Network Mapper) Outil d exploration réseau et scanneur de ports/sécurité 1. Présentation Nmap est un outil open source d'exploration réseau et d'audit de sécurité, utilisé pour scanner de grands

Plus en détail

Squid Intégrez un proxy à votre réseau d'entreprise

Squid Intégrez un proxy à votre réseau d'entreprise Avant-propos 1. Introduction 7 2. À qui s'adresse ce livre? 8 3. Structure du livre 8 Les principes de base d un serveur cache 1. Pourquoi un serveur mandataire? 11 2. Le principe d'un serveur mandataire-cache

Plus en détail

LINUX FIREWALL. Le firewall opèrera en fonction de règles de filtrage, appelées des ACL (Access Control Lists).

LINUX FIREWALL. Le firewall opèrera en fonction de règles de filtrage, appelées des ACL (Access Control Lists). 1 LINUX FIREWALL Introduction Un firewall ou pare-feu est un des composants essentiel à la sécurité informatique d un réseau. Il va permettre d isoler une ou plusieurs machines ou réorienter les requêtes

Plus en détail

Sécurité et Linux. Philippe Biondi Cédric Blancher 14 mai 2002

Sécurité et Linux. Philippe Biondi <biondi@cartel-securite.fr> Cédric Blancher <blancher@cartel-securite.fr> 14 mai 2002 Sécurité et Linux Philippe Biondi Cédric Blancher 14 mai 2002 Plan 1 Aperçu d un SI Linux Aperçu Points forts Points faibles Sécurité et Linux

Plus en détail

Notice du LiveCD Spécialité Réseaux

Notice du LiveCD Spécialité Réseaux Notice du LiveCD Spécialité Réseaux 21 2 Ethereal : Ethereal est un sniffer de réseau, il capture les trames circulant sur le réseau, en permet l'analyse et sépare suivant l'encapsulation les différnetes

Plus en détail

FreeNAS 0.7.1 Shere. Par THOREZ Nicolas

FreeNAS 0.7.1 Shere. Par THOREZ Nicolas FreeNAS 0.7.1 Shere Par THOREZ Nicolas I Introduction FreeNAS est un OS basé sur FreeBSD et destiné à mettre en œuvre un NAS, système de partage de stockage. Pour faire simple, un NAS est une zone de stockage

Plus en détail

Sécurité et Linux. Sylvain Zongo Cédric Blancher 11 mai 2003

Sécurité et Linux. Sylvain Zongo <zongos@zcp.bf> Cédric Blancher <blancher@cartel-securite.fr> 11 mai 2003 Sécurité et Linux Sylvain Zongo Cédric Blancher 11 mai 2003 Outline 1 Aperçu d un SI Linux Aperçu Points forts Points faibles Sécurité et Linux Tour d horizon

Plus en détail

Travaux Pratiques R&T 2 ème année Durée : 3 heures TP R2b SECURITE RESEAUX Sécurité des services. Objectifs du TP

Travaux Pratiques R&T 2 ème année Durée : 3 heures TP R2b SECURITE RESEAUX Sécurité des services. Objectifs du TP Travaux Pratiques R&T 2 ème année Durée : 3 heures TP R2b SECURITE RESEAUX Sécurité des services Noms : Rabenjamina Solohaja et Tharic Faris Groupe : 5 Date : 21/11/2014 Objectifs du TP - Installation

Plus en détail

Fonctionnement de Iptables. Exercices sécurité. Exercice 1

Fonctionnement de Iptables. Exercices sécurité. Exercice 1 Exercice 1 Exercices sécurité 1. Parmi les affirmations suivantes, lesquelles correspondent à des (bonnes) stratégies de défenses? a) Il vaut mieux interdire tout ce qui n'est pas explicitement permis.

Plus en détail

Sécurité des systèmes d information les firewalls

Sécurité des systèmes d information les firewalls Sécurité des systèmes d information les firewalls 1 Plan Définition et notions générales L offre Firewall actuelle Conception d une architecture sécurisée par firewall Administration et maintenance 2 Aperçu

Plus en détail

Base de connaissances

Base de connaissances Base de connaissances Page 1/14 Sommaire Administration du système... 3 Journalisation pour le débogage... 3 Intellipool Network Monitor requiert-il un serveur web externe?... 3 Comment sauvegarder la

Plus en détail

Présentation du relais HTTP Open Source Vulture. Arnaud Desmons Jérémie Jourdin

Présentation du relais HTTP Open Source Vulture. Arnaud Desmons <ads@intrinsec.com> Jérémie Jourdin <jjn@intrinsec.com> Arnaud Desmons Jérémie Jourdin Présentation Motivations Historique Démonstration Présentation fonctionnelle Présentation technique L'interface d'administration Roadmap

Plus en détail

Les Attaques en Réseau sous Linux

Les Attaques en Réseau sous Linux Les Attaques en Réseau sous Linux Plan Introduction Partie 1: ARP Spoofing Partie 2: Outils de simulation. Partie 3: Démonstration de l attaque.. Partie 4: Prévention et détection de l attaque. Partie

Plus en détail

Travaux Pratiques R&T 2 ème année Durée : 3 heures TP R2b SECURITE RESEAUX Sécurité des services. Objectifs du TP

Travaux Pratiques R&T 2 ème année Durée : 3 heures TP R2b SECURITE RESEAUX Sécurité des services. Objectifs du TP Noms : BAUD - CARRETTE Groupe : TP3 Date : 11/01/12 Travaux Pratiques R&T 2 ème année Durée : 3 heures TP R2b SECURITE RESEAUX Sécurité des services Objectifs du TP - Installation et configuration d'un

Plus en détail

Couche réseau : autour d IP. Claude Chaudet

Couche réseau : autour d IP. Claude Chaudet Couche réseau : autour d IP Claude Chaudet 2 ICMP : Signalisation dans IP Positionnement et rôle d'icmp IP est, en soi, un mécanisme simple dédié à l'acheminement de trames Il ne définit pas de messages

Plus en détail

Sécurité et Firewall

Sécurité et Firewall TP de Réseaux IP pour DESS Sécurité et Firewall Auteurs: Congduc Pham (Université Lyon 1), Mathieu Goutelle (ENS Lyon), Faycal Bouhafs (INRIA) 1 Introduction: les architectures de sécurité, firewall Cette

Plus en détail

Welcome. Bienvenue. Willkommen. welkom. yôkoso. Benvenuto. Bienvenida. tervetuloa

Welcome. Bienvenue. Willkommen. welkom. yôkoso. Benvenuto. Bienvenida. tervetuloa Welcome Willkommen Bienvenue بكم مرحبا yôkoso welkom Benvenuto Bienvenida tervetuloa SVP mettez votre portable en mode silencieux Page 2 Ubuntu GNU/Linux est-il un système sécuritairement sain? Page 3

Plus en détail

Devoir Surveillé de Sécurité des Réseaux

Devoir Surveillé de Sécurité des Réseaux Année scolaire 2009-2010 IG2I L5GRM Devoir Surveillé de Sécurité des Réseaux Enseignant : Armand Toguyéni Durée : 2h Documents : Polycopiés de cours autorisés Note : Ce sujet comporte deux parties. La

Plus en détail

Ubuntu Linux Création, configuration et gestion d'un réseau local d'entreprise (3ième édition)

Ubuntu Linux Création, configuration et gestion d'un réseau local d'entreprise (3ième édition) Introduction 1. Introduction 13 2. Le choix de l'ouvrage : Open Source et Linux Ubuntu 13 2.1 Structure du livre 13 2.2 Pré-requis ou niveau de connaissances préalables 13 3. L'objectif : la constitution

Plus en détail

Authentification CAS : module apache V2 mod_cas

Authentification CAS : module apache V2 mod_cas Page 1 of 8 Authentification CAS : module apache V2 mod_cas Ce document décrit l'installation et le paramétrage du module mod_cas esup-portail pour apache V2. Vincent Mathieu Université Nancy 2 Dates de

Plus en détail

Réseaux. Moyens de sécurisation. Plan. Evolutions topologiques des réseaux locaux

Réseaux. Moyens de sécurisation. Plan. Evolutions topologiques des réseaux locaux Réseaux Evolutions topologiques des réseaux locaux Plan Infrastructures d entreprises Routeurs et Firewall Topologie et DMZ Proxy VPN PPTP IPSEC VPN SSL Du concentrateur à la commutation Hubs et switchs

Plus en détail

SQUID P r o x y L i b r e p o u r U n i x e t L i n u x

SQUID P r o x y L i b r e p o u r U n i x e t L i n u x SQUID P r o x y L i b r e p o u r U n i x e t L i n u x 1. P r é s e n t a t i o n : SQUID est un proxy (serveur mandataire en français) cache sous linux. De ce fait il permet de partager un accès Internet

Plus en détail

Consultant et Formateur - Unix/Linux/Open Source

Consultant et Formateur - Unix/Linux/Open Source Consultant et Formateur - Unix/Linux/Open Source Quelques exemples de mes formations Unix-Linux : Les bases indispensables Programmation shell : Scripts Unix-Linux Langage Perl : Scripts Unix-Linux-Microsoft

Plus en détail

Application distribuée via HTTP Mise en œuvre minimale...

Application distribuée via HTTP Mise en œuvre minimale... Module RX : distrib/http Application distribuée via HTTP Mise en œuvre minimale... Problème de la distribution Fabrice Harrouet École Nationale d Ingénieurs de Brest harrouet@enib.fr http://www.enib.fr/~harrouet/

Plus en détail

Master d'informatique. Réseaux. Proxies et filtrage applicatif

Master d'informatique. Réseaux. Proxies et filtrage applicatif Master d'informatique Réseaux Proxies et filtrage applicatif Bureau S3-354 mailto:jean.saquet@info.unicaen.fr http://www.info.unicaen.fr/~jean/radis Proxy applicatif Un proxy, ou serveur mandataire, relaie

Plus en détail

FILTRAGE de PAQUETS NetFilter

FILTRAGE de PAQUETS NetFilter TP RESEAUX MMI Semestre 3 FILTRAGE de PAQUETS NetFilter OBJECTIF : Introduction à Netfilter. Configuration d'un firewall. MATERIELS : (Machines Virtuelles) 1 Serveur Debian avec apache d'installé, 1 Poste

Plus en détail

Installation et configuration de ZeroShell

Installation et configuration de ZeroShell Master 2 Réseaux et Systèmes informatiques Sécurité Réseaux Installation et configuration de ZeroShell Présenté par: Mor Niang Prof.: Ahmed Youssef PLAN 1. Présentation 2. Fonctionnalités 3. Architecture

Plus en détail

<http://www.2le.net> <http://www.ankeo.com> Sécurité et logiciels libres Sébastien Heitzmann - Jean-Marc Boursot 2LE, Ankeo 2002 - reproduction interdite Sécurité et logiciels libres Présentation des sociétés

Plus en détail

ZABBIX est distribué sous licence GNU General Public License Version 2 (GPL v.2).

ZABBIX est distribué sous licence GNU General Public License Version 2 (GPL v.2). Nom du projet : Zabbix Description : ZABBIX est un logiciel open source créé par Alexei Vladishev. Zabbix permet de surveiller le statut de divers services réseau, serveurs et autres matériels réseau.

Plus en détail

ModSecurity. Cible de sécurité CSPN Version 0.96

ModSecurity. Cible de sécurité CSPN Version 0.96 Cible de sécurité CSPN Version 0.96 TABLE DES MATIERES 1 IDENTIFICATION... 3 1.1 IDENTIFICATION DE LA CIBLE DE SECURITE... 3 1.2 IDENTIFICATION DU PRODUIT... 3 2 ARGUMENTAIRE (DESCRIPTION) DU PRODUIT...

Plus en détail

SCOoffice Mail Connector for Microsoft Outlook. Guide d'installation Outlook 2002

SCOoffice Mail Connector for Microsoft Outlook. Guide d'installation Outlook 2002 SCOoffice Mail Connector for Microsoft Outlook Guide d'installation Outlook 2002 Rév 1.1 4 décembre 2002 SCOoffice Mail Connector for Microsoft Outlook Guide d'installation - Outlook XP Introduction Ce

Plus en détail

Alexis Lechervy Université de Caen. M1 Informatique. Réseaux. Filtrage. Bureau S3-203 mailto://alexis.lechervy@unicaen.fr

Alexis Lechervy Université de Caen. M1 Informatique. Réseaux. Filtrage. Bureau S3-203 mailto://alexis.lechervy@unicaen.fr M1 Informatique Réseaux Filtrage Bureau S3-203 mailto://alexis.lechervy@unicaen.fr Sécurité - introduction Au départ, très peu de sécurité dans les accès réseaux (mots de passe, voyageant en clair) Avec

Plus en détail

2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES. 2.2 Architecture fonctionnelle d un système communicant. http://robert.cireddu.free.

2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES. 2.2 Architecture fonctionnelle d un système communicant. http://robert.cireddu.free. 2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES 2.2 Architecture fonctionnelle d un système communicant Page:1/11 http://robert.cireddu.free.fr/sin LES DÉFENSES Objectifs du COURS : Ce cours traitera essentiellement

Plus en détail

Retour d expérience sur Prelude

Retour d expérience sur Prelude Retour d expérience sur Prelude OSSIR Paris / Mathieu Mauger Consultant Sécurité (Mathieu.Mauger@intrinsec.com) Guillaume Lopes Consultant Sécurité (Guillaume.Lopes@Intrinsec.com) @Intrinsec_Secu 1 Plan

Plus en détail

LINUX - ADMINISTRATION PROGRAMME DE FORMATION

LINUX - ADMINISTRATION PROGRAMME DE FORMATION LINUX - ADMINISTRATION Objectifs : Cette formation a pour objectif de vous apprendre les éléments de base de l'administration en commençant par un rappel des commandes de bases et l'apprentissage de la

Plus en détail

Éléments de Sécurité sous Linux

Éléments de Sécurité sous Linux Éléments de Sécurité sous Linux Objectif: Pare-feu sous GNU/Linux Contenu: Principes de base fonctionnement de Netfilter architecture: DMZ configuration par iptables par Shorewall Principe du pare-feu

Plus en détail

Linux sécurité des réseaux

Linux sécurité des réseaux Linux sécurité des réseaux serveurs mandataires (proxy) fbongat@ipsl.jussieu.fr 2007-2008 Qu'est-ce qu'un proxy? = mandataire (traduction) Un proxy est un service mandataire pour une application donnée.

Plus en détail

HP Formation Afrique francophone Description de cours

HP Formation Afrique francophone Description de cours HP Formation Afrique francophone Description de cours Sécurité HP-UX 1ère Partie (H3541S) Ce cours examine les failles de sécurité les plus courantes du système HP-UX et étudie les outils et techniques

Plus en détail

Sécurité avancée des réseaux Filtrage des paquets. IUT d Auxerre Département RT 2 ème année 2013-2014 ZHANG Tuo tuo.zhang@u-bourgogne.

Sécurité avancée des réseaux Filtrage des paquets. IUT d Auxerre Département RT 2 ème année 2013-2014 ZHANG Tuo tuo.zhang@u-bourgogne. Sécurité avancée des réseaux Filtrage des paquets IUT d Auxerre Département RT 2 ème année 2013-2014 ZHANG Tuo tuo.zhang@u-bourgogne.fr Outline Pare-feu & Filtre de Confiance Filtrage de paquets Pare-feu

Plus en détail

Linux sécurité des réseaux

Linux sécurité des réseaux Linux sécurité des réseaux Rappels et audits réseaux Frédéric Bongat (IPSL) Philippe Weill (SA) 1 Introduction Sécurité des réseaux sous Linux Les réseaux Audit réseau 2 3 TCP/IP : protocoles de communication

Plus en détail

Définition Principes de fonctionnement Application à iptables 1/25

Définition Principes de fonctionnement Application à iptables 1/25 Les pare-feux Définition Principes de fonctionnement Application à iptables 1/25 Définition Un pare-feu est un logiciel qui : Analyse les trames qu'il reçoit et prend une décision en fonction des adresses

Plus en détail

Le laboratoire Galaxy Swiss Bourdin (GSB)

Le laboratoire Galaxy Swiss Bourdin (GSB) Le laboratoire Galaxy Swiss Bourdin (GSB) Page 0 PROJET D ETUDE SUR LA MISE EN PLACE D UN Travail effectué par : LARANT Wilfried LEMAITRE Florian COMOTTI Arnaud Page 1 Table des matières I. Objectif...

Plus en détail

Manuel de System Monitor

Manuel de System Monitor Chris Schlaeger John Tapsell Chris Schlaeger Tobias Koenig Traduction française : Yves Dessertine Traduction française : Philippe Guilbert Traduction française : Robin Guitton Relecture de la documentation

Plus en détail

Le filtrage de niveau IP

Le filtrage de niveau IP 2ème année 2008-2009 Le filtrage de niveau IP Novembre 2008 Objectifs Filtrage : Le filtrage permet de choisir un comportement à adopter vis à vis des différents paquets émis ou reçus par une station.

Plus en détail

Les Logiciels Libres au Service de la Sécurité

Les Logiciels Libres au Service de la Sécurité Exemples d outils libres déployés pour des objectifs de sécurité cedric.blancher@eads.net -- http://sid.rstack.org/ Centre Commun de Recherche Département SSI Suresnes, FRANCE JIA 2005, Sfax 9 fév. 2005

Plus en détail

Solutions Linux 2004 SSLTunnel : Un VPN tout terrain

Solutions Linux 2004 SSLTunnel : Un VPN tout terrain HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet Solutions Linux 2004 SSLTunnel : Un VPN tout terrain Alain Thivillon

Plus en détail

TP4 : Firewall IPTABLES

TP4 : Firewall IPTABLES Module Sécurité TP4 : Firewall IPTABLES Ala Rezmerita François Lesueur Le TP donnera lieu à la rédaction d un petit fichier texte contenant votre nom, les réponses aux questions ainsi que d éventuels résultats

Plus en détail

JEAN-FRANÇOIS BOUCHAUDY GILLES GOUBET. Linux. Administration

JEAN-FRANÇOIS BOUCHAUDY GILLES GOUBET. Linux. Administration est f o E Y R O L L E S JEAN-FRANÇOIS BOUCHAUDY GILLES GOUBET Linux Administration PRÉAMBULE...P-1 Progression pédagogique... P-2 MODULE 1 : INTRODUCTION... 1-1 Les caractéristiques d UNIX...1-2 L historique

Plus en détail

face à la sinistralité

face à la sinistralité Le logiciel libre face à la sinistralité Jean-Marc Boursot Ankeo 2005 - reproduction interdite Le logiciel libre face à la sinistralité Présentation Le rapport du Clusif Quelques

Plus en détail

Protection des protocoles www.ofppt.info

Protection des protocoles www.ofppt.info ROYAUME DU MAROC Office de la Formation Professionnelle et de la Promotion du Travail Protection des protocoles DIRECTION RECHERCHE ET INGENIERIE DE FORMATION SECTEUR NTIC Sommaire 1. Introduction... 2

Plus en détail

Objectif des gardes barrières. Barrière de Sécurité. Pare-feu. Pare-feu. Types de Pare-feu. Une vue d'ensemble

Objectif des gardes barrières. Barrière de Sécurité. Pare-feu. Pare-feu. Types de Pare-feu. Une vue d'ensemble ASR4 réseaux Barrière de Sécurité Introduction Serveur de proximité, pare-feu IP, filtrage, architecture 1 Objectif des gardes barrières Protéger un environnement (vis à vis de l extérieur et de l intérieur)

Plus en détail

La haute disponibilité de la CHAINE DE

La haute disponibilité de la CHAINE DE Pare-feu, proxy, antivirus, authentification LDAP & Radius, contrôle d'accès des portails applicatifs La haute disponibilité de la CHAINE DE SECURITE APPLICATIVE 1.1 La chaîne de sécurité applicative est

Plus en détail

L'AAA, késako? Bruno Bonfils, , Novembre 2005. Sous ce terme d'apparence barbare est regroupé l'ensemble des concepts suivants :

L'AAA, késako? Bruno Bonfils, <asyd@solaris fr.org>, Novembre 2005. Sous ce terme d'apparence barbare est regroupé l'ensemble des concepts suivants : Introduction L'AAA, késako? Bruno Bonfils, , Novembre 2005 Sous ce terme d'apparence barbare est regroupé l'ensemble des concepts suivants : Authentication (authentification) Authorization

Plus en détail

Linux sécurité des réseaux

Linux sécurité des réseaux Linux sécurité des réseaux serveurs mandataires (proxy) fbongat@ipsl.jussieu.fr 2007 2008 Proxy Qu'est ce qu'un proxy? Proxy = mandataire (traduction) Un proxy est un service mandataire pour une application

Plus en détail

Présentation du Serveur SME 6000

Présentation du Serveur SME 6000 Le Serveur SME 6000 (Small & Medium Entreprises) La société ACMS INFORMATIQUE, SSII spécialisée dans les technologies de l informatique, a retenu comme solution un serveur/passerelle (basé sur la distribution

Plus en détail

Sécurité des bases de

Sécurité des bases de HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet CLUSIR-EST Sécurité des bases de données Louis Nyffenegger Louis Nyffenegger

Plus en détail

PCI (Payment Card Industry) DSS (Data Security Standard )

PCI (Payment Card Industry) DSS (Data Security Standard ) PCI (Payment Card Industry) DSS (Data Security Standard ) Jean-Marc Robert Génie logiciel et des TI PCI-DSS La norme PCI (Payment Card Industry) DSS (Data Security Standard) a été développée dans le but

Plus en détail

OWASP Open Web Application Security Project. Jean-Marc Robert Génie logiciel et des TI

OWASP Open Web Application Security Project. Jean-Marc Robert Génie logiciel et des TI OWASP Open Web Application Security Project Jean-Marc Robert Génie logiciel et des TI A1: Injection Une faille d'injection, telle l'injection SQL, OS et LDAP, se produit quand une donnée non fiable est

Plus en détail

Filtrage IP MacOS X, Windows NT/2000/XP et Unix

Filtrage IP MacOS X, Windows NT/2000/XP et Unix Filtrage IP MacOS X, Windows NT/2000/XP et Unix Cette présentation, élaborée dans le cadre de la formation SIARS, ne peut être utilisée ou modifiée qu avec le consentement de ses auteur(s). MacOS/NT/Unix

Plus en détail

MANUEL D' UTILISATION

MANUEL D' UTILISATION MANUEL D' UTILISATION Table des matières Présentation...2 Introduction...2 Matériel nécessaire...2 Logiciel nécessaire...3 Partie A : Installation et Mise en oeuvre du matériel et logiciel...4 Partie B

Plus en détail

Sécurité dans les développements

Sécurité dans les développements HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet Sécurité dans les développements Paris, 11 mai 2007 Hervé Schauer

Plus en détail

Applications Réseau. Objectif: Contenu: Durée: Comprendre et utiliser les applications réseau

Applications Réseau. Objectif: Contenu: Durée: Comprendre et utiliser les applications réseau Applications Réseau Objectif: Comprendre et utiliser les applications réseau Contenu: principes des applications réseau diagnostic et dépannage exemples: telnet, FTP, NTP, commandes remote, affichage déporté

Plus en détail

Hébergement WeboCube. Un système performant et sécurisé. Hébergement géré par une équipe de techniciens

Hébergement WeboCube. Un système performant et sécurisé. Hébergement géré par une équipe de techniciens Hébergement WeboCube Le service d'hébergement WeboCube a pour but de sécuriser la présence internet grâce à un suivi personnalisé et une maintenance active de votre serveur internet. Un espace de gestion

Plus en détail

eth0 10.254.52.1/24 eth1 10.52.1.1/24 Sn Serveur Apache

eth0 10.254.52.1/24 eth1 10.52.1.1/24 Sn Serveur Apache APACHE Configuration et administration d un serveur 1 : Mise en place du réseau Schéma logique stp 10.254.0.254 eth0 10.254.52.1/24 eth0 10.52.1.3/24 eth1 10.52.1.1/24 Sn Serveur Apache eth2 10.52.2.1/24

Plus en détail

L3 informatique TP n o 2 : Les applications réseau

L3 informatique TP n o 2 : Les applications réseau L3 informatique TP n o 2 : Les applications réseau Sovanna Tan Septembre 2009 1/20 Sovanna Tan L3 informatique TP n o 2 : Les applications réseau Plan 1 Transfert de fichiers 2 Le Courrier électronique

Plus en détail

WWW.MELDANINFORMATIQUE.COM

WWW.MELDANINFORMATIQUE.COM Solutions informatiques Procédure Sur Comment créer un premier Site SharePoint 2010 Historique du document Revision Date Modification Autor 3 2013-04-29 Creation Daniel Roy 1. But.4 2. Configuration..4

Plus en détail

Serveur de sauvegarde à moindre coût

Serveur de sauvegarde à moindre coût 1/28 Serveur de sauvegarde à moindre coût Yann MORÈRE LASC http://www.lasc.univ-metz.fr/ I. Cahier des charges II. Solution III. Présentation des outils utilisés IV. Mise en œuvre 2/28 Cahier des charges

Plus en détail

MINI-PROJET : ETUDE D UN MECANISME DE REDIRECTION DE PAGES WEB POUR AUTHENTIFIER UN UTILISATEUR WIFI

MINI-PROJET : ETUDE D UN MECANISME DE REDIRECTION DE PAGES WEB POUR AUTHENTIFIER UN UTILISATEUR WIFI Claire Billaud - 3ème année IS MINI-PROJET : ETUDE D UN MECANISME DE REDIRECTION DE PAGES WEB POUR AUTHENTIFIER UN UTILISATEUR WIFI Page 1 sur 9 Principe : On veut faire en sorte que le réseau interne

Plus en détail

Vulnérabilités et sécurisation des applications Web

Vulnérabilités et sécurisation des applications Web OSSIR 09/09/2002 Vulnérabilités, attaques et sécurisation des applications Web Pourquoi les firewalls sont impuissants patrick.chambet@edelweb.fr http://www.edelweb.fr http://www.chambet.com Page 1 Planning

Plus en détail

Serveurs de noms Protocoles HTTP et FTP

Serveurs de noms Protocoles HTTP et FTP Nils Schaefer Théorie des réseaux (EC3a) Serveurs de noms Protocoles HTTP et FTP Théorie des réseaux (EC3a) Séance 7 Pourquoi DNS? Internet est une structure hiérarchique et arborescente de réseaux et

Plus en détail

THEGREENBOW FIREWALL DISTRIBUE TGB::BOB! Pro. Spécifications techniques

THEGREENBOW FIREWALL DISTRIBUE TGB::BOB! Pro. Spécifications techniques THEGREENBOW FIREWALL DISTRIBUE TGB::! Pro Spécifications techniques SISTECH SA THEGREENBOW 28 rue de Caumartin 75009 Paris Tel.: 01.43.12.39.37 Fax.:01.43.12.55.44 E-mail: info@thegreenbow.fr Web: www.thegreenbow.fr

Plus en détail

Mise en place d un portail captif avec une distribution pfsense

Mise en place d un portail captif avec une distribution pfsense Mise en place d un portail captif avec une distribution pfsense Présentation : pfsense est une distribution routeur/pare-feu OpenSource basée sur FreeBSD, pouvant être installée sur un simple ordinateur

Plus en détail

Activité - Serveur sous Linux Suse

Activité - Serveur sous Linux Suse Activité - Serveur sous Linux Suse Configuration de services réseaux Problématique : Configurer les services réseaux (DHCP, SAMBA, APACHE2) sur un serveur afin de répondre au besoin des postes clients

Plus en détail

Exemple d intrusion dans un réseau

Exemple d intrusion dans un réseau Exemple d intrusion dans un réseau Cédric Blancher - blancher@cartel-info.fr Daniel Polombo - polombo@cartel-info.fr 11 décembre 2001 Plan 1 Introduction et présentation du réseau ciblé Pénétration du

Plus en détail

La sécurité des Réseaux Partie 6.1 Les pare-feus

La sécurité des Réseaux Partie 6.1 Les pare-feus La sécurité des Réseaux Partie 6.1 Les pare-feus Fabrice Theoleyre Enseignement : INSA Lyon / CPE Recherche : Laboratoire CITI / INSA Lyon Références F. Ia et O. Menager, Optimiser et sécuriser son trafic

Plus en détail

Cyberclasse L'interface web pas à pas

Cyberclasse L'interface web pas à pas Cyberclasse L'interface web pas à pas Version 1.4.18 Janvier 2008 Remarque préliminaire : les fonctionnalités décrites dans ce guide sont celles testées dans les écoles pilotes du projet Cyberclasse; il

Plus en détail

Chapitre 4 Les Servlets. 1. Qu'est-ce qu'une Servlet? 1.1 Présentation. 1.2 Requêtes HTTP

Chapitre 4 Les Servlets. 1. Qu'est-ce qu'une Servlet? 1.1 Présentation. 1.2 Requêtes HTTP 210 Les Servlets 1. Qu'est-ce qu'une Servlet? 1.1 Présentation Les Servlets sont la base de la programmation Java EE. La conception d'un site Web dynamique en Java repose sur ces éléments. Une Servlet

Plus en détail

CONFIGURATION P 2 P 3 P 3 P 10 P 11 P 13 P 14 P 16

CONFIGURATION P 2 P 3 P 3 P 10 P 11 P 13 P 14 P 16 CONFIGURATION 1 Présentation 2 Topologie du projet 3 Installation 4 Configuration 4.1 Création de la DMZ publique 4.2 Accès vers l Internet 4.3 Publication d Exchange 4.4 Rapports d activité et alertes

Plus en détail