Collection(s) : Les cahiers de l'Admin
Paru le 11/09/2003 | Broché XI-155 pages
Professionnels
avec la collaboration de Martine Chalmond
Ce cahier détaille les règles d'or à appliquer pour que les réseaux et systèmes sous Linux restent sûrs. L'enjeu est de taille: protéger les données et assurer la continuité de service.
A travers une étude de cas générique mettant en scène un réseau d'entreprise, l'administrateur apprendra à améliorer l'architecture et la protection de ses systèmes connectés, notamment contre les intrusions, dénis de service et autres attaques: filtrage des flux, sécurisation par chiffrement avec SSL et (Open)SSH, surveillance quotidienne... On utilisera des outils Linux libres, réputés pour leur efficacité.
La sécurité et le système Linux. Internet haut débit et émergence de Linux. Enjeux de la sécurité. Étude de cas. Schéma de l'infrastructure informatique et services mis en oeuvre. Scénario d'une attaque et compromission. Réagir face à l'intrusion. Pirates, failles et «exploit». Analyse d'une machine compromise. Rootkit: sniffer, mode PROMISCUOUS, suppression des traces, backdoor. Sécuriser les communications. Confidentialité et authentification. Chiffrement. SSL et SSH. Sécuriser les systèmes. Installation automatisée APT, RPM. Mise en configuration minimale. Mises à jour. Sécurisation du système de fichiers. Permissions: suid, sgid, sudo. Options de montage. Filtrer les accès: TCPWrapper. Sécuriser cron et syslog. Configurer la pile TCP/IP: protection contre les attaques ICMP redirect, source routing et IP spoofing. Sécuriser les services réseau: DNS, Web et mail. DNS. Apache HTTP, HTTPS. Configuration sécurisée de la messagerie. · Filtrage en entrée de site. Filtrage en entrée versus filtrage des paquets entrants. Pare-feux sans états et avec états. Politique de filtrage: «tout ouvert sauf...» versus «tout fermé sauf...». · Topologie segmentation et DMZ. Zones et flux. Topologie réseau. Segmentation et VLAN. Proxy versus NAT. Configuration des pare-feux avec IPtables. · Surveillance et audit. Le mécanisme du syslog. Empreinte des systèmes avec Tripwire. Métrologie réseau. Scanner Nmap et audit système avec Nessus. Détection d'intrusion avec Snort.
Ingénieur de formation, Bernard Boutherin a été administrateur système et réseau successivement dans trois laboratoires du CNRS. Il est actuellement responsable informatique du LPSC à Grenoble et est chargé de mission pour la sécurité informatique auprès de la direction de l'IN2P3 (18 laboratoires de recherche, près de trois mille utilisateurs).
De formation universitaire, Benoît Delaunay travaille actuellement au Centre de Calcul de l'IN2P3 (Institut National de Physique Nucléaire et de Physique des particules). Il y est administrateur système et réseau en charge de la sécurité informatique. Il intervient également pour le compte de divers organismes comme consultant et formateur indépendant.
