If you can't read please download the document

LPIC1 11 01 sécurité réseaux

Embed Size (px)

Citation preview

  • 1. Nol Mac Formateur et Consultant indpendant expert Unix et FOSS http://www.noelmace.comScuritScurit rseauLicence Creative Commons Ce(tte) uvre est mise disposition selon les termes de la Licence Creative Commons Attribution - Pas dUtilisation Commerciale - Partage dans les Mmes Conditions 3.0 France.Linux LPIC1 Comptia Linux+noelmace.com

2. Plan Introduction Rechercher les ports ouverts sur un serveur Les super-serveurs Inetd Xinetd Scuriser xinetd TCP Wrapper Configuration du TCP Wrapper Linux LPIC1 Comptia Linux+noelmace.com 3. Introduction ncessit de grer les diffrents services dsactivation des serveurs inutiles protection des serveurs utilesLinux LPIC1 Comptia Linux+noelmace.com 4. Outils d'analyse du rseau nmap : scanner rseau netstat : le couteau suisse des statuts rseau tables de routage, stats des interfaces, etc ..obsolte, mais encore trs utilis - destin tre remplac par ss et iproute2. lsof : permet de lister les fichiers ouverts ce qui incluse les connexions rseauLinux LPIC1 Comptia Linux+noelmace.com 5. Rechercher les ports ouverts sur un serveur TCP connect scan$ nmap -sT hostname $ nmap -sT hostname UDP scan$ nmap -sU hostname $ nmap -sU hostname afficher les connections actives# netstat [-ap | -lp] # netstat [-ap | -lp] -a : all-l : listening (n'afficher que les sockets l'coute)-p : programme (affiche le PID et le nom du programme)ou encore# lsof -i [46][protocol][@hostname|hostaddr][:service|port] # lsof -i [46][protocol][@hostname|hostaddr][:service|port] exemple# lsof -i :ftp # lsof -i :ftp Linux LPIC1 Comptia Linux+noelmace.com 6. Dsactiver les services inutiles cf sysVinit scripts & runlevels /etc/inittab exemple : dsactiver le login via modemS0:2345:respawn:/usr/sbin/mgetty -F -s 57600 /dev/ttyS0 S0:2345:respawn:/usr/sbin/mgetty -F -s 57600 /dev/ttyS0 /etc/init.d fichiers de configuration du super-serveurLinux LPIC1 Comptia Linux+noelmace.com 7. Les super-serveurs Permettent de le lancer un service que si ncessaire en rponse une premire demande de client rseaux avantage minimise le nombre de dmons peu frquemment utilissd'o conomie de ressources dfaut lgre latence lors du dmarrage conseil : dsactiver tout de mme un maximum de services "si je ne connais pas, je dsactive" (en se documentant un peu avant tout de mme)Linux LPIC1 Comptia Linux+noelmace.com 8. Les super-serveursLinux LPIC1 Comptia Linux+noelmace.com 9. inetd InterNET Daemon /etc/inetd.conf + /etc/inetd.d/ une socket protocol (no)wait utilisateur programme args service socket protocol (no)wait utilisateur programme args service ligne par serviceExempleftp stream tcp nowait root /usr/sbin/tcpd /usr/sbin/in.ftpd -l ftp stream tcp nowait root /usr/sbin/tcpd /usr/sbin/in.ftpd -lLinux LPIC1 Comptia Linux+noelmace.com 10. inetd.conf : dtails nom du service : cf /etc/services wait|nowait indique si le dmon invoqu par inetd est capable ou non de grer son propre socketwait : fournir plusieurs sockets un dmon type de socket : type de connection attendue flux (stream)nowait : un dmon enfant pour chaquet nouveau socket pour stream(raw) utilisateur : sous lequel le dmon est excut gnralement rootparfois (pour scu) daemon ou nobodyencapsulation directe dans IP - IGMP, OSPF, ICMP paquets pour dgram(dgram)non fiable - UDP ranges bidirectionnelle fiable - TCP datagram squentiels (seqpacket)similaire stream mais sans fragmentation des paquets programme-serveur tcp(tcp4), tcp6, udp (udp4), udp6, tcp46, udp46chemin complet vers le dmon protocoleinternal si interne inetdpeu tre le TCP Wrapper (ex: tcpd) arg Linux LPIC1 Comptia Linux+arguments du programmenoelmace.com 11. xinetd eXtended InterNET Daemon plus scuris /etc/xinetd.conf + /etc/xinetd.d/ Exempleservice ftp service ftp { { socket_type = stream socket_type = stream protocol = tcp protocol = tcp wait = no wait = no user = root user = root server = /usr/sbin/in.ftpd server = /usr/sbin/in.ftpd server_args = -l server_args = -l disable = yes disable = yes } } Linux LPIC1 Comptia Linux+noelmace.com 12. Scuriser xinetd bind = adresse-IP bind = adresse-IP # n'couter que sur une interface # n'couter que sur une interface # surtout utile pour les routerus # surtout utile pour les routerus only-from = adresse-IP only-from = adresse-IP no-access = adresse-IP no-access = adresse-IP access-time = hh:mm-hh:mm access-time = hh:mm-hh:mm # heures durant lesquelles le serveur est accessible # heures durant lesquelles le serveur est accessible # attention : heure de login # attention : heure de login # ie. si quelqu'un se log 16:59 il pourra continuer # ie. si quelqu'un se log 16:59 il pourra continuer # l'utiliser ensuite # l'utiliser ensuiteLinux LPIC1 Comptia Linux+noelmace.com 13. TCP Wrappers : introduction permet de contrler les accs aux dmons rseaux ACLs rseaux, bases sur l'hte nom, adresse IP (de sous-rseau) ou identie. les tentatives de connexion sur une machine donne cr par Dutchman Wietse Venema - 1990 du Department of Mathematics and Computer Science - Eindhoven University of Technology (Pays-bas)pour monitorer l'activit d'un crackermaintenue jusqu' 1995 1 juin 2001 : licence BSD A l'origine, seulement disponible pour les super-serveurs via tcpdaujourd'hui disponible pour tout dmon li la bibliothque /usr/lib/libwrap.a sshd, xinetd, sendmail, etc ... avantages par rapport au contrle d'accs intgrs aux dmons reconfiguration chaud des rgles de filtragepas besoin de redmarrer le dmonapproche globaleLinux LPIC1 Comptia Linux+noelmace.com 14. TCP WrapperLinux LPIC1 Comptia Linux+noelmace.com 15. Configuration du TCP Wrapper fichiers /etc/hosts.allow et hosts.denydaemon-list : client-list daemon-list : client-list daemon-list : cf /etc/services peut indiquer tout les dmons : mot cl ALL client-list : nom ou adresse IP hte nom ou adresse IPrseau .nom ou adresse IP. exemples : .luna.edu ou 192.168.7. (ie 192.168.7.0/24)ALL + EXCEPT (pour faire une exception) exemple : 192.168.7. EXCEPT 192.168.7.105Linux LPIC1 Comptia Linux+noelmace.com 16. Ce quon a couvert sujet 110-01 : Effectuer des tches d'administration de scurit tre capable d'utiliser nmap et netstat pour dcouvrir les ports ouverts sur un systme. (nmap netstat lsof) sujet 110-02 : Configurer la scurit d'un hte Comprendre le rle du TCP wrapper. (/etc/hosts.allow /etc/hosts.deny)Dsactiver les services rseau inutiliss. /etc/xinetd.d/* /etc/xinetd.conf /etc/inetd.d/* /etc/inetd.conf/etc/inittab /etc/init.d/*Linux LPIC1 Comptia Linux+noelmace.com 17. Licence Ce(tte) uvre (y compris ses illustrations, sauf mention explicite) est mise disposition selon les termes de la Licence Creative Commons Attribution - Pas dUtilisation Commerciale - Partage dans les Mmes Conditions 3.0 France. Pour voir une copie de cette licence, visitez http://creativecommons.org/licenses/by-nc-sa/3.0/fr/ ou crivez : Creative Commons, 444 Castro Street, Suite 900, Mountain View, California, 94041, USA.Vous tes libre de: partager reproduire, distribuer et communiquer cette uvreremixer adapter luvreSelon les conditions suivantes : Attribution Vous devez clairement indiquer que ce document, ou tout document driv de celui, est (issu de) luvre originale de Nol Mac (noelmace.com) (sans suggrer qu'il vous approuve, vous ou votre utilisation de luvre, moins d'en demander expressment la permission).Pas dUtilisation Commerciale Vous navez pas le droit dutiliser cette uvre des fins commerciales (ie. l'intention premire ou l'objectif d'obtenir un avantage commercial ou une compensation financire prive). Pour obtenir ce droit, une autorisation explicite de l'auteur est requise.Partage dans les Mmes Conditions Si vous modifiez, transformez ou adaptez cette uvre, vous navez le droit de distribuer votre cration que sous une licence identique ou similaire celle-ci.Pour toute demande de collaboration, d'utilisation commerciale ou de publication de ce support ou d'un driv de celui-ci sous une licence incompatible, contacter l'auteur via les contacts indiqus sur le site http://www.noelmace.com. Vous tes par ailleurs vivement encourag (sans obligation lgale) communiquer avec celui-ci si vous ralisez une uvre drive ou toute amlioration de ce support.Linux LPIC1 Comptia Linux+noelmace.com


Les réseaux informatiques la politique de sécurité · Mémoire Les réseaux informatiques et la politique de sécurité Comment les réseaux informatiques permettent-ils de garantir

Les réseaux informatiques la politique de sécurité · Mémoire Les réseaux informatiques et la politique de sécurité Comment les réseaux informatiques permettent-ils de garantir

Documents
La sécurité des réseaux

La sécurité des réseaux

Documents
01/02/081 ENSSATLSI3 chapitre 1 Cours Sécurité des réseaux et des systèmes informatiques

01/02/081 ENSSATLSI3 chapitre 1 Cours Sécurité des réseaux et des systèmes informatiques

Documents
SÉCURITÉ DES RÉSEAUX SÉCURITÉ DES RÉSEAUX SANS FIL

SÉCURITÉ DES RÉSEAUX SÉCURITÉ DES RÉSEAUX SANS FIL

Documents
Parcours ASUR : Administration et SécUrité des Réseaux

Parcours ASUR : Administration et SécUrité des Réseaux

Documents
« Confiance et sécurité sur les réseaux

« Confiance et sécurité sur les réseaux

Documents
Sécurité des réseaux ad hoc

Sécurité des réseaux ad hoc

Documents
Sécurité des réseaux pair-à-pair

Sécurité des réseaux pair-à-pair

Documents
Rapport Pfe sécurité des réseaux 4G

Rapport Pfe sécurité des réseaux 4G

Documents
Réseaux Informatiques d’Entreprise (RIE) e sécurité

Réseaux Informatiques d’Entreprise (RIE) e sécurité

Documents
Sécurité des Réseaux - ENSIMAG · 2011-04-19 · Sécurité des Réseaux Mécanismes de Sécurité Sécurité des Réseaux 4MMSR - Network security course Grenoble INP Ensimag

Sécurité des Réseaux - ENSIMAG · 2011-04-19 · Sécurité des Réseaux Mécanismes de Sécurité Sécurité des Réseaux 4MMSR - Network security course Grenoble INP Ensimag

Documents
La sécurité des réseaux informatique

La sécurité des réseaux informatique

Documents
Notions de Sécurité Des Réseaux Informatiques. (Www.coursnet.com)

Notions de Sécurité Des Réseaux Informatiques. (Www.coursnet.com)

Documents
ADMINISTRATEUR SYSTÈMES & RÉSEAUX...Intégrateur systèmes et sécurité Administrateur de la sécurité MÉTIERS ET DÉBOUCHÉS * Titre d’Administrateur(trice) systèmes et réseaux

ADMINISTRATEUR SYSTÈMES & RÉSEAUX...Intégrateur systèmes et sécurité Administrateur de la sécurité MÉTIERS ET DÉBOUCHÉS * Titre d’Administrateur(trice) systèmes et réseaux

Documents
Sécurité des Réseaux Cellulaires · 2017-03-27 · Rappel de quelques notions de base Sécurité des réseaux de deuxième génération Sécurité des réseaux GPRS Sécurité

Sécurité des Réseaux Cellulaires · 2017-03-27 · Rappel de quelques notions de base Sécurité des réseaux de deuxième génération Sécurité des réseaux GPRS Sécurité

Documents
Matinée 01 Sécurité

Matinée 01 Sécurité

Documents
Linux sécurité des réseaux

Linux sécurité des réseaux

Documents
Module n°3 Services réseaux et Sécurité

Module n°3 Services réseaux et Sécurité

Documents
Réseaux : Architecture, Sécurité, Internet et messagerie

Réseaux : Architecture, Sécurité, Internet et messagerie

Documents
Réseaux & Sécurité

Réseaux & Sécurité

Documents
Sécurité Des Réseaux d'Entreprises

Sécurité Des Réseaux d'Entreprises

Documents
La sécurité des réseaux informatiques

La sécurité des réseaux informatiques

Documents
Module 3 Sécurité des Réseaux

Module 3 Sécurité des Réseaux

Documents
Cours 4MMCSR - Codage et sécurité des réseaux

Cours 4MMCSR - Codage et sécurité des réseaux

Documents
1. Présentation-Administration et Sécurité Système & Réseaux

1. Présentation-Administration et Sécurité Système & Réseaux

Documents
Projet administration-sécurité-réseaux

Projet administration-sécurité-réseaux

Education
de vous dépend la sécurité à proximité des réseaux · Les exploitants de tous les réseaux Collectivités territoriales, de vous dépend la sécurité à proximité des réseaux

de vous dépend la sécurité à proximité des réseaux · Les exploitants de tous les réseaux Collectivités territoriales, de vous dépend la sécurité à proximité des réseaux

Documents
Sécurité des réseaux industriels

Sécurité des réseaux industriels

Documents
BTS Réseaux & Sécurité Informatique

BTS Réseaux & Sécurité Informatique

Documents
Sécurité des réseaux sans fil WIFI

Sécurité des réseaux sans fil WIFI

Education