Jump to content

Archived

This topic is now archived and is closed to further replies.

-rem-

Securite Systeme et Réseau

Recommended Posts

Présentation

Des posts sont encore en "Reservé" afin de pouvoir etayer au mieux ce topic et faire qqchose de vraiment complet sur ce sujet. Nous vous inviterons donc par la suite à poster vos observations, remarques, critiques problemes rencontres etc... .

Nous completerons ce topic au fur et à mesure et le commencerons d'ici ce week end ( 20 aout 2004 ).

Auteurs : Sandeman, remy.harel

Index :

I) Pourquoi se protéger ?

II) La sécurisation du système

III) La sécurisation du réseau

IV)

V)

:chinois: réseau -> iptables, nmap, traceroute, ifconfig etc....

:pleure: système -> droits d'accès, setuid, fichiers sensibles, stratégie de securité...

Share this post


Link to post
Share on other sites

Présentation : pourquoi se protéger ?

Aujourd'hui, l'ADSL se répand de plus en plus, et cela fait les joies de certains. De beaucoup d'entre nous même, pour différentes raisons. Navigation plus fluide, échange de fichiers de plus en plus gros ( photographie numérique, fichiers multmimédias etc...), téléchargements plus rapides etc....Sans oublier que pour certains cela veut dire squat de ligne pour attaquer une cible plus importante, voire rappratriement de données/informations sensibles. De plus en plus de virus et de spyware ( espions ) ainsi que des troyens circulent sur le net.... LA sécurisation du système est donc plus nécessaire que jamais. Bien que nous soyons priviliégés sous linux, il faut cependant rappeler certains points sensibles :

:chinois: à se croire en sécurité un utilisateur a tendance à négliger sa sécurité

:pleure: sécuriser son systéme des attaques extérieures c'est bien, mais l'intérieur ?

:-D sécuriser son système de soi même, erreurs de manip etc....

:roule: le p2p demande une sécurisation accrue, donnons lui plus encore !

:mad2: le système est hacké générallement pour 2 raisons :

--------------> récupérations d'informations sensibles

--------------> hack d'un site plus intéressant, on va servir de "bélier"

Nous allons donc tenter d"expliquer à travers ce topic comment protéger sa machine de manière assez efficace, bien entendu, c'est juste un tuto sur internet, ce n'est pas une consultation d'experts réseau, enfin, vous pouvez toujours nous contacter moyennant finance... lol of course :mdr2:

Allez, prenez une boite d'aspirine, on va partir progressivement pour finir à un niveau respectable de sécurisation système...

Share this post


Link to post
Share on other sites

II) Sécurisation du système

La principale menace d'un système par rapport à une attaque locale est la connexion en root, c'est générallement l'objectif second du hacker, tout de suite après être rentré sur la machine. Nous verrons dans une partie ultérieure consacré au réseau comment sécuriser les intrusions venant de l'extérieur. Ici, on va se concentrer dans un premier temps sur l'utilisateur connecté au lan ou directement sur la machine qui cherche a devenir root sur notre machine. On va donc faire ce que l'on peut pour lui compliquer la tâche.

A - Quelques bons réflexes

:chinois: Shadows passwords

Aujourd'hui, les distributions linux proposent un cryptage un peu particulier des mots de passe, les "shadows passwords". Lorsque cela n'est pas activé, les mots de passent sont stockés dans le fichier /etc/passwd et notre intrus peut tenter de les déchiffrer avec un outil approprié. Lorsqul'on l'active en revanche, un fichier /etc/shadow contient les mots de passent cryptés et seul root peut travailler dessus, cela limite déja grandement les risques de tentative de déchiffrage des mots de passe.

:pleure: Cryptage MD5 des mots de passe

On peut aussi renforcer le cryptage des mots de passe en utilisant cette option lors de l'installation, qui permet une sécrurité accrue.

:-D Choisir un mot de passe root à coucher dehors

Ca paraît évident, mais bon, vaut mieux le rappeler...

:roule: Ne pas créer de compte utilisateur sans mot de passe

Forcer les utilisateurs à en prendre des suffisament compliqués, certaines distribution refusent les mots du dictionnaire ou trop simples par exemple. C'est générallement une bonne solution.

:mad2: Ne pas démarrant le système en loggant automatique un utilsateur

C'est la porte ouverte au piratage local.

:mdr2: Eviter le recours au su

Préférez sudo.

:arrow: Eviter de se logger en root

cf ci dessus.

:arrow: Eviter de recourrir à chmod

En cas de besoin, faire très attention à ce que l'on fait, et rétablir dès que possible les droits d'origine. Il est même possible de sécuriser le système grâce a cette commande, nous verrons cela après.

:arrow: Utiliser avec beaucoup de précaution les suid.

Cela permet à un utilisateur d'utiliser une commande avec les privilèges root pour cette commande. Cela n'est générallement pas très correcte, et doit être évité autant que possible.

:arrow: Eviter de laisser tournre des daemons qui ne servent pas

Cela ne sert strictement à rien, et en cas de faille de sécurité cela peut amener un point fabile sur le système.

:arrow: Bonne gestion des groupes

Linux propose la gestion de groupe, distinguer bien les utilisateurs du sytèmes, selon leur niveau, mais aussi selon leur tâche et leur utilisation du système. Ne leur donner pas des droits dont ils n'ont pas besoin, cela ne ferait qu'affaiblir la sécurité du systéme.

A compléter, ce n'est qu'un début

B - Quelques fichiers à ne pas négliger

Si vous voulez protéger entièrement votre machine, il faut bien entendu faire attention à tous les détails y compris aux utilisateurs locaux. Bien souvent, on a plus a craindre de l'intérieur que de l'extérieur. De plus, si un utilisateur arrive à se logguer en local sur la machine depuis internet, celà revient au même.

Restreindre fortement le compte de certains utilisateurs, juste ce dont ils ont besoin par exemple. Ne pas leur laisser l'acces en lecture à certains fichiers de confguration, qui ne leur sont pas forcément indispensable, qu peuvent notament donnerdes informations sur le système. Moins le pirate en sait, plus la tache lui sera difficile car plus il y aura de façons d'aborder le probleme.

A compléter, ce n'est qu'un début

C - Définiton de l'utilisation de la machine, serveur, firewall, workstation pour une sécurité spécifique

Share this post


Link to post
Share on other sites

III) Sécurisation du réseau

A - Un bon routage

B - Un bon firewall

Intro, présentation d'un firewall, natif, applicatif, principe

1 - Iptables avec GUI

2 - Iptables en détail

3 - Firewall applicatifs

4 - Pour les plus fainéants...

:chinois:script iptables générique

:pleure:liens vers firewall touts prêts

C - De bonnes applications

Explications ssh2 plutot que telnet, ftp...exemple de capture login/mdp avec tcpdump

D - Quelques outils pour tester la sécurité d'une machine

nmap & co.

Share this post


Link to post
Share on other sites

Bigre,

J'allais justement vous demander de faire un truc comme cela.

Mais avec aussi le paramétrage de services réseaux.

En fait, je vais refaire complétement mon serveur (migration windows -> Linux), surtout que celui-ci n'aura plus du tout le même objectif.

Avant, c'était un simple serveur de fichier pour le réseau local et une passerelle pour la connection au net (avec un firewall logiciel, lock'n'stop pro, pour ceux qui connaissent, et avast en tant qu'anti-virus).

Le win qui tourait dessus était emplement suffisant pour l'usage que j'en faisiait. Le serveur était éteint tous les soirs, et rallumé à mon réveil (oui il était dans ma chambre).

Le partage des fichiers n'était autorisé qu'aux personnes du réseau loacal et dont l'adresse ip avait été donnée par le dhcp. Dhcp qui ne distribuait une adresse qu'aux adresses mac qu'il connaissait. Plus login et mdp par utilisateur.

Le petit Win touranit avec un minimum de service, mis à jour très régulièrement, avec de temps à autre, irc ou un truc dans le genre pour dl des animes (dont je suis un grand fan), ou il faisait office de serveur de jeux. (Raison pour laquelle il est resté sous Win si longtemps)

Seulement voilà. Je vais bientôt faire l'aquisition d'un modem/routeur/firewall/wifi/vpn, (netgear DG834G, ou Linksys WRT54GS)

, et je voudrais en profitait pour faire le grand nettoyage et faire un petit plus de chose avec mon serveur (et enfin surtout, le passer sous Linux)

Il tournera presque tout le temps, aura 1/2 petits sites web perso, un serveur de messagerie (pour 5/10 personnes) et un serveur ftp.

Il gardera toujours sa fonction de serveur de fichiers, de serveur de jeux (tout ce que j'utilise passe bien sous wine/wineX ou sont natifs pour linux).

Et comme j'aimerai bien sécurisé tout cela, votre tuto m'intérresse énormément :transpi:.

Bon, j'ai pas mal de temps devant moi. J'attends de recevoir mon salaire pour commander le truc qui fait tout (donc pas avant septembre + le temps de le commander/recevoir), et de me documenter suffisamment pour tout mettre en oeuvre.

Mon but est que cela soit le plus nickel possible. A partir du mois de septembre, je ne serais plus beaucoup chez moi, (Ecole + alternance en entreprise, dont je recherche toujours l'entreprise ^^) donc il faut que tout soit bien en place et que je n'ai plus qu'à gérer cela que quotidiennement. Juste vérifier que ça tourne bien, qu'il n'y est pas trop de problème. Comme je ne reviens que le week-end, je ne veux pas le passer devant le serveur :eeek2:.

Voilà :roll:

@+

Guile.

PS : J'espère qu'on avait le droit de poster maintenant. J'ai eu beau relire ton message remy, il était toujours aussi embigu dans mon petit esprit ^^.

Sinon, ben pas de prob, tu le déplaces, ou je le supprimes et je le remettrais plus tard.

Share this post


Link to post
Share on other sites

Pas besoin d'un modem routeur etc... C'est pour windaube ca ! Pour un lan, Linux peut largement faire l'affaire, vu que tu n'auras probablement qu'un reseau. Avec ton serveur linux tu peux avoir :

- Routage securise

- Firewall le plus efficace possible

- Serveur web ( Apache + php + MySQL )

- Serveur de mail

- VPN

- Wifi

...

Pourquoi vouloir acheter un truc alors que linux le fait tres bien.

Share this post


Link to post
Share on other sites

ouais, mais tu perds ton serveur de mail et ton serveur apache sandeman ! Donc, au final, Son serveur sera allume 24/7 donc autant faire tout avec ce routeur ( moi c'est ce que j'ai fait ). Pour le silence, on commande 4 papst sur ldlc et un dd de 40Go recent, et c'est inaudible...

Share this post


Link to post
Share on other sites

Remy -> en fait sandeman a répondu a presque toute la question :

1er point : La disponibilité.

Là on est en période de vacances.

Donc mon frère et ma soeur vont coucher tard.

Seulement moi, comme je travaille, je vais coucher top.

Mon serveur étant dans ma chambre, avec son alim, ses 4 DD, le ventilo du proc, ... C'est pas un pc très silencieux, et je n'avais pas choisit le matériel pour (c'est beaucoup de la récupération, du matériel que j'ai eu d'occaze ou des trucs dans le genre ...).

Donc, bref, je le coupe pour pouvoir dormir ... mais derrière j'entends ma soeur hurler comme une folle, et mon frere jurer car il vient d'être déconnecté en pleine partie sur battle net.

Ce raisonnement n'est pas valable qu'en période de vacances. Dès que moi je vais dormir -> plus de net pour personne. Et tant que je ne suis pas levé -> idem.

2ème point : La consommation d'électricité.

Ma mère refuse que le serveur soit allumé tout le temps. Le routeur consommera un peu moins je pense que le serveur.

Pour ce qui est des pages web perso. C'est juste histoire de les tester avant de les envoyer chez un hébergeur gratuit. Plus facile de travailler en local. Sinon, si j'ai une IP fixe pour l'adsl chez moi.

De plus je pourrais allumer mon serveur à distance. le routeur étant toujours connecter au web et le serveur juste alimenté et configurer en "wake on lan".

Tout bénef.

3ème point : Le wifi.

Je n'ai pas de carte PCI wifi. Il faudra donc que je m'en achète une. (oui c'est pas cher par rapport au routeur) Et cette carte qui sera configuré en tant que point d'accès pour les 2 autres portables en wifi (si c'est possible) devra obligatoirement se trouver dans ma chambre. Tandis que le petit routeur, je peux le mettre où je veux (vu que pas trop gros). Donc avoir une meilleur portée.

4ème point : Se passer du modem sagem 800 en usb ^^

Cela fait longtemps que je voulais m'acheter un modem ethernet pour palier les petits problèmes que j'ai avec ce modem en usb. Là j'en ai un dans le routeur. Rien ne m'empêche de mettre le serveur derrière, mais on revient au problème de la disponibilité et de la consommation.

5ème point : La sécurité.

Mème si cela ne sera pas aussi fin qu'un script fait sous linux, je pense que je pourrais configurer le firewall, le routage, le vpn et le wifi du routeur, de manière à suffisament sécuriser le réseau, pour un réseau @ home.

Ne t'inquiète pas, le serveur contiendra lui aussi son propre firewall maison écrit à la mimine (Même si ce que je partage n'est pas important, je ne veux pas qu'on y touche sans mon authorisation. C'est bourré d'animes ^^).

Les postes clients sont soit sous Linux, soit sous windows. (tous en dual/boot pour le moment). Ils ont tous avast en tant qu'antivirus s'ils sont sous Win. Ils seront branchés sur un switch qui lui sera relié au routeur. Seul le serveur sera branché directement sur le routeur. Je veux faire en sorte que le réseau local (postes clients) ne puisse être vu du monde extérieur.

De plus pour le cas où, si jamais mon frêre (ou pire mon père ^^) devait intervenir sur ces régles de sécurité (style un jeu n'arrive pas à se connecter étant donée que je n'est pas ouvert le port qu'il utilise), il faut qu'il puisse se débrouiller sans trop de diffucultés.

Je ne vois pas mon frère commencer à éditer un fichier texte avec vi, rajouter des paramètres, et relancer les services réseaux ^^. Tandis que là, avec une ch'tite interface web, il sera plus à l'aise. (Mais je serais quand même dérrière lui pour lui expliquer, via téléphone, ou le chat).

Voilà.

Ce sont les raisons qui me conduise à acheter cette petite bestiolle.

Dans les grandes lignes, on peut surtout retenir, la disponibilité et la conso d'électricité.

Share this post


Link to post
Share on other sites
2ème point : La consommation d'électricité.

Ma mère refuse que le serveur soit allumé tout le temps. Le routeur consommera un peu moins je pense que le serveur.

:modoreussi:

Share this post


Link to post
Share on other sites
  ouais, mais tu perds ton serveur de mail et ton serveur apache sandeman ! Donc, au final, Son serveur sera allume 24/7 donc autant faire tout avec ce routeur ( moi c'est ce que j'ai fait ). Pour le silence, on commande 4 papst sur ldlc et un dd de 40Go recent, et c'est inaudible...

Pour le serveur de mail, j'hésite un peu. Pour le moment, le courrier est hébergé soit chez free, soit chez hotmail.

Je préfère que les utilisateurs ouvrent leurs courriers sur des serveurs distants plutôt que sur leurs machines. De plus les serveurs de chez free et de chez hotmails, ont maintenant de bon anti-spam, de bon scanner de virus, et dispose d'une boite assez conséquente en taille.

S'ils veulent récupérer leurs courriers, ils utilsent thunderbird, et ne rapatrit que ce dont ils ont besoin (et encore, ils n'en voyent même pas l'utilité, moi non plus d'ailleurs). J'ai suffisament sensibilisé ma famille sur les virus/vers et autres.

En fait, tout comme le serveur web, si j'en mets un, ce sera juste pour faire des tests.

Et comme durant ces tests, je ne veux pas que mon serveur se transforme en gruillère ... je me renseigne sur leur sécurisation ^^.

Je me rends compte par rapport à mes propos de tout à l'heure, que les services que je rajoute à mon serveur (mail, web, ftp) ne seront que des services temporaires. Il ne faut pas que j'oublie le fait que le serveur devra être allumé le moins de temps possible. (Juste pour dl et socker qq animes, faire office de serveur de jeux, serveur de stockage, ...).

Car être allumé 16h par jour, juste pour partager une connection internet ... c'est pas jolie, jolie pour la facture.

Puis comme je ne dispose pas de beaucoup de bande passante (ADSL Free 1024 non-dégroupé), faire un serveur de mail, web et ftp n'est pas très résonnable avec un up qui plafonne à 15ko/s. Sauf si c'est du temporaire.

J'ai 3*100Mo avec free pour le ftp et les pages web. Ce qui est plus que suffisant pour mes besoins.

Share this post


Link to post
Share on other sites

Lol tuXXX,

Qu'est ce qui te fait rire dans cette phrase ?

La tirade entre la conso du serveur et du routeur ?

Ou le fait que ma mère ralle ? (Comme on a, à peu près le même âge, je suis un an plus vieux que toi :modoreussi:, tu connais peut-être aussi ce genre de problème ?)

^^

Share this post


Link to post
Share on other sites
Car être allumé 16h par jour, juste pour partager une connection internet ... c'est pas jolie, jolie pour la facture.

Faut arrêter, ça consomme pas tant que ça les PC...

(bon, ok, ça dépend lesquels, mais en général...)

Share this post


Link to post
Share on other sites

C'est surtout psychologique pour ma mère. (Et pas que pour la mienne apparement ...)

Depuis que j'ai l'ADSL et le serveur allumé la journée -> Facture EDF a augmenté -> faute au serveur ... sans commentaire ...

Tandis que là,

[/me discute avec sa mère]

Regardes, je n'allumes presque plus le serveur. Je laisse juste ce petit boitier qui consomme presque rien ...

[/me a finit la discution et a gagné la guerre psychologique, mère approuve l'achat du routeur et donne une petite subvension :modoreussi: ]

Bon, entre l'alim qui consomme du 350 Watt (théorique) et le boitier à 120.

Sachant que j'ai aussi remplacé mes PCs perso par des portables, ... la facture d'EDF va peut-être baisser ...

Share this post


Link to post
Share on other sites

surtout pour un serveur, tu mets une petite alim de 250W (si cela suffit) et hop

attention je ne parle pas de serveur avec 60DD SCSI :modoreussi:

Share this post


Link to post
Share on other sites

oui, kzr a tout a fait raison... Apres tu peux meme tenter des trucs de ouf a la alex, genre tu retires la carte graphique ... bientot alex il va essayer de nous faire booter une machine sans ram et sans cpu....

Un serveur linux installe direct sur une carte reseau... :transpi:

perso Sephiroth a juste :

:modoreussi: cm

:p cpu

:baton: ram

:sm: cg ( 8Mo attention les yeux :transpi: )

:francais: alim

:francais: carte reseau

:chinois: disque dur ( 1, bientot 2 )

( pas de disquette, pas de cdrom, pas de son etc... )

Share this post


Link to post
Share on other sites

mon serveur (duron 700, 1 DD) consommait vraiment pas grand chose, j'avais même mis le ventilo de l'alim en 5V...

Mais pour mon PC perso, c'est une autre histoire...

(2 athlon XP 2400+, 1 lecteur, 1 graveur, 1 DD IDE, 1 2ème DD IDE bientôt remplacé par 3 DD SATA en raid 5, 1 GeForce3 bientôt remplacée par mieux,la carte son, l'écran (LCD ça va), et 2 ventilos 8cm de boitier + 2 ventilos 8cm pour les procos + 2 6cm pour ventiler un peu... le tout sur une alim 400W <elle va bientôt prendre cher... :modoreussi:)

Share this post


Link to post
Share on other sites

on peut même remplacer le DD par une bonne memory card il me semble

Share this post


Link to post
Share on other sites

ça dépend surtout du pc pour la consommation.... style mon serveur sans écran bouffe autant de jus que mon pc de surf avec écran :modoreussi:

ce'st pas le même matos.......

Share this post


Link to post
Share on other sites

×
×
  • Create New...