Présentation des pratiques fondamentales de sécurisation d'un système et réseau sous Linux. A travers une étude de cas générique mettant en scène un réseau d'entreprises, on évolue de l'audit de sécurité à l'amélioration de l'architecture : filtrage des flux en entrée, sécurisation par chiffrement avec SSL et (Open)SSH, détection des intrusions, surveillance quotidienne, etc. ©Electre 2024

Quelles règles d'or appliquer pour préserver la sûreté d'un réseau Linux ? Comment protéger les systèmes et les données ?

Grâce à des principes simples et à la mise en oeuvre d'outils libres réputés pour leur efficacité, on apprendra dans ce cahier à améliorer l'architecture d'un réseau d'entreprise et à le protéger contre les intrusions, dénis de service et autres attaques. On verra notamment comment filtrer des flux (netfilter/IPtables...), sécuriser la messagerie (milter-greylist, ClamAV...), chiffrer avec SSL (stunnel...) et (Open)SSH. On étudiera les techniques et outils de surveillance (métrologie avec MRTG, empreintes Tripwire, détection d'intrusion avec des outils tel Snort, création de tableaux de bord) et l'authentification unique (SSO) avec LDAP, Kerberos, PAM, les certificats X509 et les PKI...

Enjeux et objectifs de sécurité Typologie des risques : motivations des pirates et failles des systèmes Distributions Linux sécurisées Étude de cas : un réseau à sécuriser Web et services associés Base de données DNS Messagerie Partage de fichiers Impression Prévention : scans, refonte de la topologie Compromission et mise en évidence des vulnérabilités Kiddies, warez et rebonds Machine compromise : traces Sauveg3rde Analyse du disque piraté Toolkit Coroner Rootkit (tOrn) Sniffer (mode PROMISCUOUS) Traces effacées Porte dérobée (backdoor) Détection à partir des logs Chiffrement avec SSH, SSL et X.509 Authentification et connexion SSL OpenSSH Authentification par mot de passe ou à clé publique Relais X11 L'alternative VPN Sécuriser les systèmes Installation automatisée et mise à jour APT, Red Hat Network Limitation des services : processus, ports réseau Permissions sur les fichiers Droits suid et sgid. sudo Options de montage Filtrage réseau avec TCP Wrapper cron et syslog Configuration sécurisée de la pile TCP/IP Source routing Protection contre les attaques IP spoo-fing et SYN flooding Pare-feu IPtables Extension noyau Sécuriser les services réseau : DNS, web et mail Installation de BIND Spam et relais ouvert Antivirus et antispam : sendmail, milter, milter-greylist et ClamAV IMAP Serveur web et sécurité Sécuriser les accès avec stunnel Configurer un client pour SSL Authentification par certificat Filtrage en entrée de site Filtrage sans état (drapeaux TCP) et avec états Politiques «tout ouvert sauf» et «tout fermé sauf» FTP et les filtres Topologie, segmentation et DMZ Cloisonner zones et flux Topologie mono ou double pare-feu DMZ Limites des VLAN VLAN (port physique ou adresse MAC) Proxy et NAT Netfilter/IPtables : tables et chaînes, écriture des règles, marquage, TOS, TTL, mode bridge Proxy ARP Sécurité Wi-Fi 802. 1x Accès frauduleux et risque d'écoute Surveillance et audit syslog Tripwire Métrologie réseau avec MRTG Configuration SNMP du pare-feu NMAP Audit réseau avec Nessus Détection d'intrusion avec Snort Pot de miel Indicateurs Gestion des comptes utilisateur et authentification Les fichiers /etc/group, /etc/passwd, /etc/shadow, /etc/gshadow Gestion des comptes PAM Name Service Switch (NSS) NIS LDAP, Kerberos Authentification unique ou «Single Sign On» Infrastructure à gestion de clés (PKI) OpenSSL et les IGC Création des certificats X.509 : bi-clés RSA, PKCS12 Mise en oeuvre de NIS, LDAP et Kerberos.