Collection(s) : Les cahiers de l'Admin
Paru le 23/11/2006 | Broché XII-265 pages
Professionnels
Quelles règles d'or appliquer pour préserver la sûreté d'un réseau Linux ? Comment protéger les systèmes et les données ?
Grâce à des principes simples et à la mise en oeuvre d'outils libres réputés pour leur efficacité, on apprendra dans ce cahier à améliorer l'architecture d'un réseau d'entreprise et à le protéger contre les intrusions, dénis de service et autres attaques. On verra notamment comment filtrer des flux (netfilter/IPtables...), sécuriser la messagerie (milter-greylist, ClamAV...), chiffrer avec SSL (stunnel...) et (Open)SSH. On étudiera les techniques et outils de surveillance (métrologie avec MRTG, empreintes Tripwire, détection d'intrusion avec des outils tel Snort, création de tableaux de bord) et l'authentification unique (SSO) avec LDAP, Kerberos, PAM, les certificats X509 et les PKI...
Enjeux et objectifs de sécurité Typologie des risques : motivations des pirates et failles des systèmes Distributions Linux sécurisées Étude de cas : un réseau à sécuriser Web et services associés Base de données DNS Messagerie Partage de fichiers Impression Prévention : scans, refonte de la topologie Compromission et mise en évidence des vulnérabilités Kiddies, warez et rebonds Machine compromise : traces Sauveg3rde Analyse du disque piraté Toolkit Coroner Rootkit (tOrn) Sniffer (mode PROMISCUOUS) Traces effacées Porte dérobée (backdoor) Détection à partir des logs Chiffrement avec SSH, SSL et X.509 Authentification et connexion SSL OpenSSH Authentification par mot de passe ou à clé publique Relais X11 L'alternative VPN Sécuriser les systèmes Installation automatisée et mise à jour APT, Red Hat Network Limitation des services : processus, ports réseau Permissions sur les fichiers Droits suid et sgid. sudo Options de montage Filtrage réseau avec TCP Wrapper cron et syslog Configuration sécurisée de la pile TCP/IP Source routing Protection contre les attaques IP spoo-fing et SYN flooding Pare-feu IPtables Extension noyau Sécuriser les services réseau : DNS, web et mail Installation de BIND Spam et relais ouvert Antivirus et antispam : sendmail, milter, milter-greylist et ClamAV IMAP Serveur web et sécurité Sécuriser les accès avec stunnel Configurer un client pour SSL Authentification par certificat Filtrage en entrée de site Filtrage sans état (drapeaux TCP) et avec états Politiques «tout ouvert sauf» et «tout fermé sauf» FTP et les filtres Topologie, segmentation et DMZ Cloisonner zones et flux Topologie mono ou double pare-feu DMZ Limites des VLAN VLAN (port physique ou adresse MAC) Proxy et NAT Netfilter/IPtables : tables et chaînes, écriture des règles, marquage, TOS, TTL, mode bridge Proxy ARP Sécurité Wi-Fi 802. 1x Accès frauduleux et risque d'écoute Surveillance et audit syslog Tripwire Métrologie réseau avec MRTG Configuration SNMP du pare-feu NMAP Audit réseau avec Nessus Détection d'intrusion avec Snort Pot de miel Indicateurs Gestion des comptes utilisateur et authentification Les fichiers /etc/group, /etc/passwd, /etc/shadow, /etc/gshadow Gestion des comptes PAM Name Service Switch (NSS) NIS LDAP, Kerberos Authentification unique ou «Single Sign On» Infrastructure à gestion de clés (PKI) OpenSSL et les IGC Création des certificats X.509 : bi-clés RSA, PKCS12 Mise en oeuvre de NIS, LDAP et Kerberos.
Ingénieur de formation, Bernard Boutherin a été administrateur système et réseau successivement dans trois laboratoires du CNRS. Il est actuellement responsable informatique du LPSC à Grenoble et est chargé de mission pour la sécurité informatique auprès de la direction de l'IN2P3 (18 laboratoires de recherche, près de trois mille utilisateurs).
De formation universitaire, Benoit Delaunay travaille actuellement au Centre de Calcul de l'IN2P3 (Institut National de Physique Nucléaire et de Physique des Particules). Il y est administrateur système et réseau en charge de la sécurité informatique. Il intervient également pour le compte de divers organismes comme consultant et formateur indépendant.
