[ précédent ] [ Table des matières ] [ 1 ] [ 2 ] [ 3 ] [ 4 ] [ 5 ] [ 6 ] [ 7 ] [ 8 ] [ 9 ] [ 10 ] [ 11 ] [ 12 ] [ A ] [ B ] [ C ] [ D ] [ E ] [ F ] [ G ] [ H ] [ suivant ]


Securing Debian Manual
Chapitre 8 - Outils de sécurité dans Debian


FIXME : Besoin de plus de contenu.

Debian fournit un certain nombre d'outils qui peuvent rendre un système Debian apte à une utilisation sécurisée, y compris la protection des systèmes d'information au travers de pare-feu (qui agissent au niveau des paquets ou de la couche application), de systèmes de détection d'intrusions (basés sur le réseau ou sur l'hôte), d'évaluation des vulnérabilités, d'antivirus, de réseaux privés, etc.

Depuis Debian 3.0 (Woody), la distribution propose des logiciels de chiffrement intégrés à la distribution principale (main). OpenSSH et GNU Privacy Guard font partie de l'installation par défaut et le chiffrement fort est maintenant présent dans les navigateurs web, les serveurs web, les bases de données, etc. Une intégration plus poussée du chiffrement est prévue pour les versions ultérieures. Ces logiciels, à cause de restrictions d'exportation aux États-Unis, n'étaient pas distribués avec la distribution principale, mais inclus seulement dans les sites hors des États-Unis.


8.1 Outils d'évaluation des vulnérabilités à distance

Les outils fournis dans Debian pour effectuer une évaluation des vulnérabilités à distance sont : [63]

De loin l'outil le plus complet et mis à jour, nessus est composé d'un client (nessus) utilisé comme une interface graphique et d'un serveur (nessusd) qui lance les attaques programmées. Nessus connait des vulnérabilités à distance pour un grand nombre de systèmes y compris les appareils réseaux, les serveurs FTP, les serveurs HTTP, etc. Les dernières versions sont même capables de parcourir un site web et d'essayer de découvrir les pages interactives qui sont susceptibles d'être attaquées. Il existe également des clients Java et Win32 (non fournis dans Debian) qui peuvent être utilisés pour contacter le serveur de gestion.

nikto est un scanner pour évaluer les vulnérabilités d'un serveur HTTP et qui utilise des stratégies afin de contrer les systèmes de détection d'intrusions (IDS). Les IDS évoluant également, la plupart de ces techniques finissent par ne plus être efficace à titre d'anti-IDS). C'est tout de même l'un des meilleurs scanners disponibles pour tester les CGI et il est capable de détecter le serveur web utilisé afin de ne lancer les attaques que si elles ont des chances de fonctionner. De plus, la base de données utilisée pour scanner peut être facilement modifiée afin d'ajouter de nouveaux tests.


8.2 Outils pour parcourir le réseau

Debian fournit quelques outils pour parcourir des hôtes distants (toutefois en n'examinant pas les vulnérabilités). Ces outils sont, dans certains cas, utilisés comme des scanners de vulnérabilités. C'est le premier type d'« attaques » lancées contre des hôtes distants afin de tenter de déterminer les services disponibles. À l'heure actuelle, Debian fournit :

Même si xprobe ne permet que la détection des systèmes d'exploitation (en utilisant des empreintes TCP/IP), nmap et knocker font les deux : la détection du système d'exploitation et la détection de l'état des ports sur un système distant. D'un autre côté, hping3 et icmpush peuvent être utilisés dans le cadre d'attaques à distance par ICMP.

Conçu spécifiquement pour les réseaux SMB, nbtscan peut être utilisé pour scanner les réseaux IP et obtenir des informations sur les noms des serveurs ayant activé la prise en charge de NetBIOS, y compris l'adresse IP, le nom NetBIOS de l'ordinateur, les noms des utilisateurs connectés, les noms des réseaux, les adresses MAC, etc.

D'un autre côté, fragrouter peut être utilisé pour tester des systèmes de détection d'intrusion réseau et voir si le NIDS peut être éludé par des attaques par fragmentation (de paquets).

FIXME : Vérifier le bogue nº 153117 (ITP fragrouter) pour voir s'il est inclus.

FIXME : Ajouter des informations basées sur Debian Linux Laptop for Road Warriors qui décrit comment utiliser Debian et un ordinateur portable pour parcourir les réseaux sans fil (803.1).


8.3 Audits internes

De nos jours, seul l'outil tiger utilisé dans Debian peut être utilisé pour effectuer un audit interne (également appelé boîte blanche, « white box ») d'hôtes de façon à déterminer si le système de fichiers est installé correctement, les processus à l'écoute sur l'hôte, etc.


8.4 Contrôle du code source

Debian fournit plusieurs paquets qui peuvent être utilisés afin de contrôler le code source de programmes écrits en C ou C++ et d'identifier des erreurs de programmation qui pourraient conduire à des failles de sécurité exploitables :


8.5 Réseaux Privés Virtuels

Un réseau privé virtuel (VPN) est un groupe d'au moins deux ordinateurs, habituellement reliés à un réseau privé offrant un accès réseau public limité, qui communiquent de façon sécurisée par l'intermédiaire d'un réseau public. Les VPN peuvent connecter un seul ordinateur à un réseau privé (client serveur) ou un réseau local (LAN) distant à un réseau privé (serveur serveur). Les VPN incluent souvent l'utilisation du chiffrement, une authentification forte des utilisateurs ou hôtes distants et des méthodes pour cacher la topologie du réseau privé.

Debian fournit un nombre assez important de paquets pour mettre en place des réseaux privés virtuels chiffrés :

FIXME : Mettre à jour cette information car elle a été écrite en pensant à FreeSWAN. Vérifier le bogue nº 237764 et le Message-Id: <200412101215.04040.rmayr@debian.org>.

Le paquet OpenSWAN est probablement le meilleur choix dans l'ensemble étant donné qu'il promet d'être fonctionnel avec tout matériel gérant le protocole de sécurité d'IP, IPsec (RFC 2411). Mais, les autres paquets peuvent vous aider à obtenir un tunnel sécurisé rapidement. Le protocole de tunnel point à point (PPTP) est le protocole propriétaire Microsoft pour les VPN. Il est pris en charge sous Linux mais il est connu pour avoir de sérieux problèmes de sécurité.

Pour plus d'informations, lire le VPN Masquerade HOWTO (couvre IPsec et PPTP), le VPN HOWTO (couvre PPP à travers SSH), le Cipe mini-HOWTO et le PPP and SSH mini-HOWTO.

Cela vaut également le coup de vérifier Yavipin, mais aucun paquet Debian ne semble être disponible pour l'instant.


8.5.1 Le tunnel point à point

Si vous désirez fournir un serveur de tunnel pour un environnement mixte (à la fois pour les systèmes d'exploitation Microsoft et les clients Linux) et qu'IPsec n'est pas une option (car il n'est fourni que pour Windows 2000 et Windows XP), vous pouvez utiliser PoPToP (serveur de tunnel point à point), fourni dans le paquet pptpd.

Si vous voulez utiliser l'authentification et le chiffrage de Microsoft avec le serveur fourni dans le paquet ppp, veuillez noter la remarque suivante de la FAQ :

     Utiliser PPP 2.3.8 n'est nécessaire que si vous voulez une
     authentification et un chiffrement compatible Microsoft MSCHAPv2/MPPE.
     La raison est que le correctif MSCHAPv2/MPPE actuellement fourni
     (19990813) est relatif à PPP 2.3.8. Si vous n'avez pas besoin de
     l'authentification ou du chiffrement compatible Microsoft, n'importe
     quelle source PPP 2.3.x fera l'affaire.

Vous devez cependant appliquer le correctif noyau fourni par le paquet kernel-patch-mppe qui fournit le module pp_mppe pour pppd.

N'oubliez pas que le chiffrement dans ppptp vous oblige à stocker les mots de passe utilisateur en clair et que le protocole MS-CHAPv2 contient des failles de sécurité connues.


8.6 Infrastructure de clefs publiques (PKI)

L'infrastructure de clefs publiques (PKI) est une architecture de sécurité introduite pour fournir un niveau de confiance amélioré lors de l'échange d'informations sur des réseaux non sécurisés. Elle utilise le concept de clefs de chiffrement publique et privée pour vérifier l'identité de l'expéditeur (signature) et garantir la confidentialité (chiffrement).

Lorsque vous vous intéressez aux PKI, vous vous trouvez confronté à une grande variété d'outils :

Debian GNU/Linux contient des paquets logiciels pour vous aider à résoudre ces problèmes de PKI, y compris OpenSSL (pour la génération de certificats), OpenLDAP (comme répertoire pour maintenir les certificats), gnupg et openswan (avec la prise en charge de la norme X.509). Cependant, le système d'exploitation ne fournit pas (depuis la version Woody, Debian 3.0) d'autorité de délivrance de certificat librement disponible comme pyCA, OpenCA ou les exemples CA d'OpenSSL. Pour plus d'informations, reportez-vous au livre Open PKI.


8.7 Infrastructure SSL

Debian fournit quelques certificats SSL avec la distribution pour qu'ils puissent être installés localement. Ils sont disponibles dans le paquet ca-certificates. Ce paquet fournit un dépôt central des certificats qui ont été soumis à Debian et approuvé (c'est-à-dire vérifiés) par le responsable du paquet, cela est utile pour toutes les applications OpenSSL qui vérifient des connexion SSL.

FIXME : Lire debian-devel pour voir s'il y a quelque chose à ajouter à cela.


8.8 Outils antivirus

Il n'y a pas beaucoup d'antivirus fournis avec Debian, probablement parce que c'est un problème qui affecte très peu les utilisateurs de Linux. En fait, la plupart des antivirus disponibles sous Linux servent à protéger des ordinateurs fonctionnant sous un autre système d'exploitation. Cela s'explique par le modèle de sécurité UNIX qui fait une distinction entre les processus privilégiés (root) et les processus appartenant aux utilisateurs. Ainsi, un programme exécutable « hostile » qu'un utilisateur non privilégié a reçu ou créé et ensuite exécuté ne peut pas infecter ou d'une autre façon manipuler le système d'exploitation lui-même. Cependant, quelques virus et vers affectant Linux existent, même si aucun n'a jamais réussi à se répandre de façon significative sous Debian. Dans tous les cas, les administrateurs peuvent vouloir mettre en place des passerelles antivirus pour se protéger contre les virus affectant d'autres systèmes plus vulnérables dans leur réseau.

Debian GNU/Linux fournit à l'heure actuelle les outils suivants pour mettre en place des environnements antivirus.

Certains démons de passerelle proposent déjà des extensions d'outils pour construire des environnements antivirus, y compris exim4-daemon-heavy (la version lourde du MTA Exim), frox (un serveur mandataire FTP de cache transparent), messagewall (un démon mandataire SMTP) et pop3vscan (un mandataire POP3 transparent).

Présentement, clamav est l'unique scanneur d'antivirus inclus dans la branche officielle de Debian. En revanche, de nombreuses interfaces qui permettent d'utiliser l'antivirus avec des passerelles gérant différents protocoles sont offertes.

D'autres projets de logiciels libres d'antivirus qui pourraient être inclus dans une future version de Debian GNU/Linux :

FIXME : Y a-t-il un paquet fournissant un script qui télécharge les dernières signatures de virus depuis http://www.openantivirus.org/latest.php ?

FIXME : Vérifier si scannerdaemon est le même que le démon scanner antivirus open (consultez les ITP).

Cependant, Debian ne fournira jamais de logiciels antivirus propriétaires et impossibles à redistribuer tels que : Panda Antivirus, NAI Netshield, Sophos Sweep, TrendMicro Interscan ou RAV. Cela ne veut évidemment pas dire que ces logiciels ne peuvent pas être installés correctement sur un système Debian[65].

Pour plus d'informations sur la façon de mettre en place un système de détection des virus, veuillez lire l'article de Dave Jones Construire un système de détection des virus des courriels pour le réseau.


8.9 Agent GPG

Il est très courant de nos jours de signer numériquement (et parfois de chiffrer) des courriels. Vous pouvez, par exemple, trouver que de nombreuses personnes participant sur des listes de diffusion signent leur courriel de la liste. Les signatures numériques sont actuellement le seul moyen de vérifier qu'un message a été envoyé par l'expéditeur et non par une autre personne.

Debian GNU/Linux fournit un certain nombre de clients de messagerie avec des fonctionnalité de signature de courriels intégrés qui interagissent soit avec gnupg ou avec pgp :

Les serveurs de clefs permettent de télécharger des clefs publiques publiées pour pouvoir vérifier des signatures. Un tel serveur est http://wwwkeys.pgp.net. gnupg peut récupérer automatiquement des clefs publics qui ne sont pas déjà dans votre trousseau (keyring) public. Par exemple, pour configurer gnupg pour utiliser le serveur de clefs ci-dessus, modifiez le fichier ~/.gnupg/options en ajoutant la ligne suivante : [66]

     keyserver wwwkeys.pgp.net

La plupart des serveurs de clefs sont liés de tel sorte que, lorsqu'une clef publique est ajoutée à un serveur, l'addition soit propagée à tous les autres serveurs de clefs publiques. Le paquet debian-keyring fournit aussi les clefs publiques des développeurs Debian. Les trousseaux gnupg sont installés dans /usr/share/keyrings/.

Pour de plus amples renseignements :


[ précédent ] [ Table des matières ] [ 1 ] [ 2 ] [ 3 ] [ 4 ] [ 5 ] [ 6 ] [ 7 ] [ 8 ] [ 9 ] [ 10 ] [ 11 ] [ 12 ] [ A ] [ B ] [ C ] [ D ] [ E ] [ F ] [ G ] [ H ] [ suivant ]


Securing Debian Manual

Version: 3.16, construite le Sun, 08 Apr 2012 02:48:09 +0000

Javier Fernández-Sanguino Peña jfs@debian.org
Auteurs, Section 1.1