Principales applications de Linux en sécurité



Documents pareils
Tunnels et VPN. 22/01/2009 Formation Permanente Paris6 86

Sécurité et Linux. Philippe Biondi Cédric Blancher 14 mai 2002

face à la sinistralité

Linux. Sécuriser un réseau. 3 e édition. l Admin. Cahiers. Bernard Boutherin Benoit Delaunay. Collection dirigée par Nat Makarévitch

LINUX - Sécurité. Déroulé de l'action. - 3 jours - Contenu de formation

Réseaux Privés Virtuels

LINUX REDHAT, SERVICES RÉSEAUX/INTERNET

La citadelle électronique séminaire du 14 mars 2002

Dr.Web Les Fonctionnalités

PACK SKeeper Multi = 1 SKeeper et des SKubes

OpenSSH. Présentation pour le groupe SUR (Sécurité Unix et Réseaux) 08/03/2005. Saâd Kadhi

Retour d expérience sur Prelude

< <

Présentation du Serveur SME 6000

Spécialiste Systèmes et Réseaux

VPN TLS avec OpenVPN. Matthieu Herrb. 14 Mars 2005

SSL ET IPSEC. Licence Pro ATC Amel Guetat

Ubuntu Linux Création, configuration et gestion d'un réseau local d'entreprise (3ième édition)

Groupe Eyrolles, 2006, ISBN : X

Welcome. Bienvenue. Willkommen. welkom. yôkoso. Benvenuto. Bienvenida. tervetuloa

Devoir Surveillé de Sécurité des Réseaux

Session N : 5 Relais de messagerie sécurisé et libre

Présentation du logiciel Free-EOS Server

Expérience d un hébergeur public dans la sécurisation des sites Web, CCK. Hinda Feriani Ghariani Samedi 2 avril 2005 Hammamet

Firewall IDS Architecture. Assurer le contrôle des connexions au. Sécurité 1

Les risques HERVE SCHAUER HSC

Formations. «Règles de l Art» Certilience formation N SIRET APE 6202A - N TVA Intracommunautaire FR

ACTION PROFESSIONNELLE N 4. Fabien SALAMONE BTS INFORMATIQUE DE GESTION. Option Administrateur de Réseaux. Session Sécurité du réseau

LINUX - ADMINISTRATION PROGRAMME DE FORMATION

2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES. 2.2 Architecture fonctionnelle d un système communicant.

Phase 1 : Introduction 1 jour : 31/10/13

Sécurité des Postes Clients

Projet Sécurité des SI

SÉCURITÉ RÉSEAUX/INTERNET, SYNTHÈSE

sécurisation des systèmes d information BE READY FOR WHAT S NEXT. Kaspersky Open Space Security

Les formations. Administrateur Systèmes et Réseaux. ENI Ecole Informatique

Positionnement produit

CIBLE DE SECURITE CSPN DU PRODUIT PASS. (Product for Advanced SSO)

Sécurité des réseaux sans fil

VPN. Réseau privé virtuel Usages :

La Latecion protection anti-intrusion Web Web Le concept «Zero effort Security» La protection des applications Extranet

Sujet 2 : Interconnexion de réseaux IP (routeurs CISCO). Sujet 3 : Implémentation d un serveur VPN avec OpenVPN.

ZABBIX est distribué sous licence GNU General Public License Version 2 (GPL v.2).

Les applications Internet

Tunnels. Plan. Pourquoi? Comment? Qu est-ce? Quelles solutions? Tunnels applicatifs ESIL INFO 2005/2006. Sophie Nicoud

DenyAll Detect. Documentation technique 27/07/2015

Les firewalls libres : netfilter, IP Filter et Packet Filter

La haute disponibilité de la CHAINE DE

INGENIEUR SYSTEMES ET RESEAUX

Fiche Technique. Cisco Security Agent

Proxy et reverse proxy. Serveurs mandataires et relais inverses

Sécurisation des communications

Initiation à la sécurité

Menaces et sécurité préventive

«ASSISTANT SECURITE RESEAU ET HELP DESK»

SOMMAIRE Thématique : Sécurité des systèmes d'information

Le logiciel libre en sécurité. L'intérêt du logiciel libre en sécurité

Logiciels Libres de sécurité informatique et Stratégie Nationale en matière de sécurisation des SI

Figure 1a. Réseau intranet avec pare feu et NAT.

La sécurité des PABX Le point de vue d un constructeur Les mesures de sécurisation des équipements lors du développement et de l intégration

DSI - Pôle Infrastructures

Formations. «Produits & Applications»

Contrôle d accès Centralisé Multi-sites

FORMATIONS De ploiement des PKI dans les entreprises Technologie VPN IPSEC Se curiser un syste me Unix ou Linux

Cybercriminalité. les tendances pour 2015

Administration de systèmes

Fiche descriptive de module

Sécurité des réseaux IPSec

Rapport de certification ANSSI-CSPN-2011/14. Fonctionnalités de pare-feu de StoneGate Firewall/VPN build 8069

Projet Système & Réseau

Fonctionnement de Iptables. Exercices sécurité. Exercice 1

Tendances de la sécurité informatique à l IN2P3. Actions pour renforcer la sécurité. Sécurité Cargèse 2001 Bernard Boutherin 1

PROFIL EXPERIENCE ARCHITECTE LINUX, OPEN SOURCE, COORDINATEUR SÉCURITÉ EMEA

La sécurité dans les grilles

Portails d'entreprise sous GNU/Linux

1 PfSense 1. Qu est-ce que c est

Authentification unifiée Unix/Windows

Mettre en place un accès sécurisé à travers Internet

Une nouvelle approche globale de la sécurité des réseaux d entreprises

Mise en route d'un Routeur/Pare-Feu

Prise en main d un poste de travail sous Windows sur le réseau du département MMI de l'upemlv. d après M. Berthet et G.Charpentier

Journées MATHRICE "Dijon-Besançon" DIJON mars Projet MySafeKey Authentification par clé USB

Présentation. LogMeIn Rescue. Architecture de LogMeIn Rescue

Mon Sommaire. INEO.VPdfdf. Sécurisations des accès nomades

Gestion de parc Windows depuis Unix. Pascal Cabaud & Laurent Joly

Sécurité des réseaux sans fil

Pare-feu VPN sans fil N Cisco RV120W

Le protocole SSH (Secure Shell)

Services Réseaux - Couche Application. TODARO Cédric

Sécurisation du réseau

Architecture système sécurisée de sonde IDS réseau

Mettez Linux en boîte avec ClearOS

Configuration d un Client VPN «TheGreenBow» 1) Création d un compte utilisateur dans la base LDAP Netasq

Atelier Sécurité / OSSIR

Catalogue «Intégration de solutions»

Transcription:

Principales applications de Linux en sécurité Journée du Logiciel Libre Montpellier - 22 Novembre 2002 Denis Ducamp Hervé Schauer Consultants - http://www.hsc.fr/ (c) 1998-2002 Hervé Schauer Consultants / Stéphane Aubert / Denis Ducamp Plan de la présentation Pourquoi utiliser les logiciels libres en sécurité Les principales applications de Linux en sécurité Passerelle d accès à Internet Filtrage IP, Web, DNS, messagerie, NIDS Les consultants en sécurité Les services de sécurité Les administrateurs Les réseaux bureautiques Les postes de travail sécurisés Conclusion Les fonctions de sécurité de Linux privilèges comptabilité chiffrement de partitions FreeS/Wan Les patches de durcissement du noyau et les distributions sécurisées Openwall, grsecurity bastille-linux, Stack-Guard, Owl

HSC Cabinet de consultants en sécurité Unix, Windows, TCP/IP et Internet depuis 1989 13 consultants Expérience de la sécurité Unix depuis 1987 Expérience de la sécurité Internet depuis 1991 Expérience de la sécurité Windows depuis 1997 Veille en vulnérabilités vendue depuis Juin 1997 Veille technologique et stratégique de l actualité en sécurité vendue depuis Janvier 2000 6 à 8 conférences internationales par an Blackhat, CanSecWest, Defcon, Eurosec, IETF, ISSE, RSA, SANS, Usenix... Types de prestations Études Installations Investigations et enquêtes après incident Analyses, audits et tests d intrusion Formations Tutoriels HSC et le logiciel libre Contribution à Sendmail (01/1992) Rediffusion de la conférence des BBS LINUX.FR en newsgroup resif.info.linux (01/1993) Création de la hiérarchie de news fr. et de fr.comp.os.linux (04/1993) Dossier Unix sur PC de Tribunix (07/1993) Installation en clientèle du premier 386BSD (1994) Installation en clientèle du premier Linux (01/1995) Présentations et formations en français Formation Sendmail (1992) Formation Bind (1992) Présentations de PGP (1994), ssh, SSL, Apache avec certificats Sensibilisation à l intérêt du logiciel libre en sécurité (1997) Tutoriel sécurité Linux dans le cadre de Linux-Expo (1999) Formation Postfix (1999), (support de cours en ligne) Formation Sécurité Linux (1999), (support de cours en ligne) Publication de logiciels libres Babelweb, Filterrules, Nstreams, XML-logs, PktFilter, etc.

Pourquoi utiliser le libre en sécurité La sécurité est devenue un énorme enjeu commercial : Les logiciels commerciaux de sécurité sont réalisés de la même façon que ceux ne traitant pas de sécurité : impératifs commerciaux, pression marketing... Les logiciels libres sont réalisés sans pression Un des énormes avantages : lisibilité du code source : Est relu par des experts Est corrigé rapidement A l inverse les logiciels propriétaires : Ne permettent pas la relecture du code source (pas de peer review) Les corrections ne sont pas toujours immédiates Pourquoi (2/4) La pérennité des logiciels est très importantes : les logiciels libres SONT pé rennes : Sendmail, Bind... *BSD, Linux... Apache, Squid, IPFilter... Dès que le logiciel a un intérêt, il est repris si son créateur arrête A l inverse, les logiciels propriétaires : Security Router, BorderGuard de NSC... Le Firewall de Matra... La documentation est très fournie : Linux Documentation Project, FreeBSD Handbook, OpenBSD FAQ... Documentation Apache

Pourquoi (3/4) La lisibilité du code nous montre que : Le code est bien écrit Le code est modulaire Le code est relu par beaucoup de personnes (cf mailing lists) Le code est bien documenté La qualité du code est souvent supérieure : IPFilter / Firewall commerciaux Pourquoi (4/4) Attention, en sécurité il FAUT se tenir au courant! Les correctifs doivent être appliqués dès leur parution : Les problèmes de sécurité sont souvent publiés avec une exploitation de vulnérabilité, corriger le problème rapidement c est éviter des ennuis futurs Les logiciels libres sont tous des Unix (même non officiellement), soit 30 ans d expérience. Aucun autre système n a été autant attaqué, relu, corrigé, amélior é...

Standards Les logiciels libres respectent les standards : entre autre IETF. Ce n est pas le cas de tous les logiciels propriétaires Le respect des standards est la seule façon d assurer l interopérabilité à tous les niveaux Le standard : IP : assure la cohérence de l Internet, la communication. C est la base. Les piles IP des logiciels libres sont les meilleures (4.4BSD et dérivés, Linux) Pour les passerelles de sécurité Filtrage IP Filtrage évolué netfilter est "stateful" Analyse de session analyse de protocoles pour ouverture dynamique de ports Traduction d adresse dont masquage d adresse, redirection de port et relayage transparent Filtrage IP au niveau applicatif tcpwrapper, xinetd

Pour les passerelles de sécurité Accès au Web Cache Web sous Linux (SQUID) Relais applicatifs de sécurité sous Linux (NSM, FWTK, Delegate) Bases d authentification et de droits Pour les passerelles de sécurité Serveur WEB Serveur Web sous Linux (Apache) Possibilité de rajouter un relais inverse filtrant (Apache) devant tout serveur web sensible filtrage des requêtes (mod_eaccess / mod_rewrite) Support du chiffrement et de l authentification forte (mod_ssl + OpenSSL)

Pour les passerelles de sécurité Serveurs DNS serveurs DNS public et privés sous Linux (BIND) démons tournant sous une identité non privilégiée et restreints dans une cage (chroot) Pour les passerelles de sécurité Serveur de messagerie Serveur de courrier électronique : Postfix et Popa3d démons conçus de façon sécurisée (chaînes, ressources...) avec séparation des privilèges (non privilégié, restreint...) Pour une grosse organisation ce serveur ne fait que relais vers l intérieur Protège de l Internet les serveurs internes et les anti-virus SMTP-TLS permet de protéger la confidentialité sur Internet par exemple entre 2 entités distinctes ou avec un "Road Warrior" : relayage activé par authentification forte stunnel : encapsulation SSL protection du trafic (confidentialité, authentification, intégrité) authentification forte réciproque

Pour la sécurité du mail Serveurs de mail sous Linux Sendmail (www.sendmail.org) Postfix : serveur de messagerie sécurisé (www.postfix.org) Serveur POP3/APOP ou IMAP Filtrage de spam : spamassassin (www.spamassassin.org) Clients sous Linux Gros volume (ex: call center) Traitement automatique : procmail et/ou scripts perl Mutt (www.mutt.org) - avec intégration de la cryptographie : PGP (www.pgpi.com) GnuPG (www.gnupg.org) Pour les passerelles de sécurité Détection d intrusion et supervision Détection d attaque / d intrusion (Snort, Shadow) gestion d alertes : Prelude contrôle d intégrité : Tripwire, AIDE VPN IPsec (FreeS/Wan) Supervision de réseaux (Trinux)

Pour les consultants en sécurité Fiabilité, souplesse et configuration Aucun problème bloquant Sécurité des données sur les disques Sécurité du courrier électronique (gros volume) Jamais de perte de courrier Pour les tests d intrusion Changement d adresse IP sans réamorçage Écoute du réseau avec des "sniffers" Nombreux programmes d exploitation disponibles Facilité de création de datagrammes IP (en C ou perl) Pour accélérer les audits Pas de clicodrome superflu Pour l indépendance Pour les services sécurité Mêmes raisons que les consultants Le service sécurité doit être le plus libre possible Gérer quotidiennement la journalisation Développer ses propres scripts Détecter les attaques et les dysfonctionnements Utilisation possible de Snort, Prélude et Shadow ( www.nswc.navy.mil/issec/cid/) Refaire ce que font les consultants Maintenir un niveau de sécurité élevé Utilisation de nessus (www.nessus.org), nmap (+V), hping et whisker Faire régulièrement des tests de vulnérabilités

Pour les administrateurs L administrateur peut : Sécuriser (vraiment) une machine Automatiser de nombreuses tâches (mise à jour...) Gérer un grand parc de machines en toute sécurité et à distance OpenSSH (www.openssh.com) SSH (www.ssh.com) SSF-128 (http://perso.univ-rennes1.fr/bernard.perrot/ssf/) Centraliser la journalisation de son parc de machines Le poste d administration doit être sécurisé Laissez aux administrateurs la possibilité d utiliser Linux! Même pour gérer un parc de machines sous d autres systèmes ( www.samba-tng.org) Pour les réseaux bureautiques Sécurité des serveurs de fichiers et d impression Utilisation de Samba (www.samba.org) Très bonne intégration Mise en place rapide Serveur sécurisé et fiable Très bonnes performances Haute disponibilité (disques RAID) Administration légère et distante Pas de réamorçage intempestif But : remplacer les PDC et BDC (PDC et BDC : contrôleurs de domaines)

Pour des postes de travail sécurisés Linux peut être utilisé sur les postes de travail Un VRAI filtre IP par poste Sur les postes de développement Sécurité et centralisation des sources (CVS+SSH) Utilisation possible de PAM PAM : Pluggable Authentication Module Authentification par mots de passe, Opie, S/Key, Radius, LDAP, Token physique, biométrie... Peu de problèmes de virus Bonne séparation utilisateur/administrateur Conclusion Linux mal utilisé est dangereux L utilisation de Linux pour la sécurité est loin d être ridicule ni marginale Système et couches réseau fiables Filtrage IP Rapidité de parution des correctifs Disponibilité de nombreux programmes dédiés à la sécurité Ne pas oublier les autres Unix Libres FreeBSD, NetBSD, OpenBSD Linux est de plus en plus utilisé!...

Fonctions sécurité de Linux les privilèges la comptabilité le chiffrement de partitions IPSec Privilèges Sur un système Unix classique le compte root (UID égal à 0) possède tous les droits Si un programme a besoin d un privilège alors le processus devra avoir l identité de root Les privilèges (capabilities) partitionnement des privilèges du compte root (UID = 0) en droits unitaires Depuis le noyau 2.2 aucune référence à l UID d un processus est faite seul l ensemble de ses privilèges effectifs est consulté basé sur le draft POSIX 1003.1e "POSIX capabilities" mis en oeuvre sur d autres plates-formes : Irix, AIX, HP/UX... Actuellement associés seulement aux processus support au niveau du système de fichiers en cours de développement Destiné aux administrateurs avancés

Comptabilité Enregistrement automatique par le noyau des ressources utilisées par chaque processus lors de leurs terminaisons date de création utilisateur propriétaire nom de la commande utilisation de la mémoire terminal contrôlé temps processeur utilisé nombre d entrées/sorties réalisées Les statistiques sont effectuées dans le but de refacturation Les données brutes permettent de détecter des choses anormales le serveur web qui discute en irc le serveur de messagerie qui télécharge des "warez" Nécessite de se développer ses propres scripts d analyse Chiffrement de partitions Patch noyau disponible sur http://www.kerneli.org Un seul patch en 2.2 : kernel-int Deux patches en 2.4 : CryptoAPI + kernel-int CryptoAPI est en standard dans le noyau 2.5.45 Les autres projets comme kernel-int, FreeS/Wan, etc. peuvent alors être compilés sans recompilation du noyau Un périphérique virtuel est associé à une partition ou à un fichier un mot de passe sert à générer une clé de chiffrement ce qui est écrit dans le périphérique virtuel est chiffré avant écriture dans la partition réelle. Algorithmes disponibles : AES (aka Rijndael), MARS, RC6, Serpent, Twofish, 3DES, Blowfish, CAST5, GOST, IDEA, RC5, NULL, DES et DFC MD5, SHA1, RIPEMD160, SHA256, SHA384 et SHA512

FreeS/Wan Patch noyau disponible sur http://www.freeswan.org Compatible Linux 2.2 et 2.4 Services de chiffrement et d authentification au niveau IP AH, ESP, IKE (démon IKE : Pluto) Pas encore intégré dans IPv6 VPN et "Road Warriors" Opportunistic Encryption Super FreeS/WAN http://www.freeswan.ca X.509 Digital Certificates NAT Traversal etc. Pour les autres Unix Libres : Kame (Free&NetBSD), OpenBSD (natif) et pipsecd (Linux, *BSD) Patches de durcissement du noyau Restriction des droits des utilisateurs sur des systèmes sensibles Limiter les appels systèmes pouvant être utilisés Spécifier les données sensibles (récupérables ou non) Donner certains privilèges à certains utilisateurs administrateurs Modification du noyau systématique

Projet Openwall par Solar Designer - http://www.openwall.com/linux/ noyaux 2.0.39 et 2.2.22 (2.4.18 en beta) 4 options de durcissement Pile non exécutable Restrictions de /tmp Restrictions de /proc Existence des fichiers 0, 1 et 2 Protège de l exécution de code installé sur la pile et le retour dans la libc Ne protège pas contre d autres débordements (tas, portes dérobées) restreint /tmp et /proc contre des attaques locales en dénis de service ou vol d information Intéressant sur les machines exposées ne dispense pas de correctement configurer les applications exécution sous une identité non privilégiée, mise en cage... aucun impact côté performances et compatibilité. grsecurity par Brad Spengler - http://www.grsecurity.net/ - noyaux 2.4.x 6 groupes d options de durcissement Buffer Overflow Protection (Openwall et PAX) Access Control Lists (démon obvadm nécessaire) Filesystem Protections Kernel Auditing Executable Protections Network Protections Protège contre l exécution de code installé dans la pile et le tas contre le retour dans la libc restreint /tmp, /proc, les processus en cage journalise certains appels systèmes dans certaines conditions ajoute de l aléa pour contrer certaines attaques Intéressant sur les machines les plus sensibles déjà correctement configurées Les coûts système et humains peuvent être importants

Distributions sécurisées bastille-linux - http://bastille-linux.sourceforge.net/ script de durcissement d un système Linux/Solaris/HP-UX destiné originellement aux universités et établissements éducatifs modifie des droits d accès et des options de configurations d applications Stack-Guard - http://www.immunix.org/products.html#stackguard patch au compilateur gcc pour générer du code auto-immune aux débordements de tampon dans la pile complémentaire à la pile non exécutable et à l audit de code inutile dans le cas d application vulnérables aux bogues de formats Immunix OS = RedHat recompilée avec Stack-Guard inclue une protection contre les bogues de formats permet seulement d attendre la correction officielle Distribution sécurisée : Owl par Solar Designer - http://www.openwall.com/owl/ revue proactive de code source pour plusieurs types de vulnérabilités logicielles privilégie les applications correctement conçues avec séparation des privilèges : OpenSSH, postfix, popa3d, vsftpd sont audités les morceaux de code exécutés avec des privilèges supérieurs à ceux d un simple utilisateur traitant typiquement des données obtenues au travers du réseau correspondant à : beaucoup des bibliothèques système tous les programmes SUID/SGID tous les démons et services réseau utilise de la cryptographie "forte" dans ses composants coeur autres : applications de politique de sécurité vérification proactive des mots de passe avec "pam_passwdqc" expiration de mots de passe et de comptes contrôle d accès basé sur les adresses réseau vérification d intégrité ("mtree")

Conclusion En sécurité, il faut conseiller le logiciel libre comprendre ce qui se passe gagner son autonomie répondre aux besoins spécifiques obtenir la transparence Les logiciels libres apportent de la sécurité Le logiciel libre est crucial pour la sécurité

2026 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back