UNIX LINUX – Sécurité des réseaux
Public : Ce cours s'adresse aux administrateurs de
serveurs et de réseaux ayant le souci de mettre en oeuvre des serveurs
sécurisés.
La connaissance préalable de l'administration
système, des réseaux et protocoles TCP/IP est nécessaire.
Objectifs : Ce stage
très pratique vous montrera comment sécuriser des serveurs Unix/Linux et
maintenir un niveau de sécurité constant dans le temps. Ce cours prévoit deux
niveaux de sécurisation : d'une part, la sécurisation du système
« isolé », d'autre part, la sécurisation des services réseaux
utilisés dans l'entreprise. Mise en oeuvre d'un audit de sécurité.
Pédagogie : Alternance d’exercices
pratiques sur micro-ordinateur et de courts exposés théoriques,
Exercices
différenciés suivant l’homogénéité du groupe,
Un support de cours est distribué à chaque
participant en fin de formation.
Contenu :
Introduction
Pourquoi sécuriser un système ? De quoi
doit-on se protéger, de qui, pourquoi peut-on être attaqué ?
Les utilisateurs, l'authentification
w
Dès le départ, définir une stratégie
d'authentification sécure.
w
Gestion des mots de passe, « éducation »
des utilisateurs.
w
Qui doit avoir un shell ?
w
Qui doit pouvoir se loguer ?
w
La notion de pseudo user.
Le cryptage des mots de passe
w
Les différents algorithmes de chiffrement. Stockage
et chiffrement d'un mot de passe. Vérification d'un mot de passe. Quelques
algorithmes de chiffrement sur Unix et en réseau.
w
Stockage des mots de passe cryptés et protections.
w
Le durcissement des mots de passe utilisateurs.
|
La sécurité et l'open source
Les implications de l'open source
w
Les corrections sont rapides/les bugs sont rendus
publics.
Problèmes liés au code (bugs connus) et donc
exploités par les hackers
w
La technique d'approche d'un hacker : connaître les
failles = savoir attaquer.
w
Quelle solution : mise à jour des logiciels,
changement de logiciel ?
L'installation trop complète : l'exemple de
Linux
Choisir une distribution dite
« sécurisée »
w
Openwall, Debian, Gentoo, et les autres
distributions liées à la sécurité.
Installation d'un système à partir d'une
distribution classique
w
Eviter le piège de l'installation facile.
w
Le maître mot : n'installer que le minimum
requis.
w
Après l'installation : il y a déjà en trop.
Le noyau
w
Allégement du noyau (utiliser le minimum pour vos
besoins).
w
Drivers de périphériques, fonctionnalités, etc.
w
Quelle version choisir, comment se renseigner, où
trouver l'information, les patches.
w
Les modules.
La sécurité locale du système
La gestion des droits
w
Faible permissivité par défaut, ouvrir les droits
sans en accorder trop.
w
Vérification des droits des fichiers, scripts et
commandes efficaces pour diagnostiquer.
w
Vérification automatisée : un changement de droit
est-il légitime ?.
Les privilèges des processus
w
La gestion des droits sur des répertoires.
w
Les droits des fichiers exécutables.
w
Gestion des processus identité réelle, identité
effective.
Les systèmes de fichiers
w
Avantages du montage de quelques FS en lecture
seule.
w
Les attributs des fichiers, disponibilité et
intérêt, gestion de l'effacement physique.
w
Les outils comme Tripwire, les scripts d'audit du
changement.
La gestion des fichiers de log
w
Conservation des logs, combien de temps, pour quoi
faire ?
w
Problème d'espace disque induit par les logs d'un
service.
PAM
w
Présentation et configuration.
w
Paramétrage des règles PAM.
La sécurité au niveau réseau
La gestion des services : deux
précautions valent mieux qu'une
w
Utiliser un firewall ? Utiliser les
wrappers ?
w
Mettre en place des filtres d'accès aux services.
w
Configurer un firewall de manière sécurisée, la
bonne démarche de sécurisation au niveau réseau.
Quels outils pour vérifier l'accessibilité
d'un service
w
Les techniques et outils de test d'accès aux
services.
w
Les commandes de diagnostic.
Le filtrage du trafic au niveau IP
w
Mettre en place d'un firewall NetFilter sous Linux.
La gestion des services
w
De quoi ai-je besoin ?
w
Qu'est-ce que ce service qui écoute sur ce
port ?
w
Le superserveur xinetd, fexibilité, fiabilité,
filtrage, lutte anti-attaque DOS.
w
Les restrictions d'accès par le wrapper, les
fichiers de trace.
w
Réaliser un audit des services actifs.
Les attaques DOS
w
Technique d'approche et but cherché.
w
Comment y remédier, ou plutôt y résister, les
outils et leur paramétrage.
Le problème de l'écoute du trafic réseau
w
SSH plutôt que telnet, rcp, ftp... SSH :
installation et configuration. Tunnels SSH pour les applications de
l'informatique existante.
Configuration sécurisée des services réseau
Introduction
w
Problèmes liés à la configuration d'un logiciel.
Quelques précautions de base, les mécanismes du type « chroot ».
Les pièges à éviter, comment être certain de bien procéder. Les outils
d'audit de la sécurité peuvent-ils aider ? Installation de Nessus, audit de
machines distantes, analyse des résultats.
Le DNS
w
- Restrictions d'accès, emprisonnement.
La messagerie
w
L'alternative Postfix : pourquoi éviter Sendmail.
Illustration des aspects anti-spam et anti-relayage.
Apache
w
Identité des processus. Options des répertoires.
w
Gestion des permissions d'accès, de
l'authentification.
w
Cryptage SSL, création de certificat.
Les serveurs FTP
w
Les dangers du FTP anonyme. Proftpd :
sécurisation de la configuration
Les utilitaires d'audit de sécurité
Les principaux logiciels de crackage
w
Des produits propriétaires et les alternatives
libres.
Des produits liés à la sécurité
w
Environnements Unix / Linux. Satan, Courtney,
Gabriel, Netmon, Saint, Crack, John the Ripper , Qcrack.
Les URL utiles
Méthodologie
w
Démarche de mise en oeuvre d'un outil de sécurité.
w
La check-list à appliquer.
|
