[ précédent ] [ Table des matières ] [ 1 ] [ 2 ] [ 3 ] [ 4 ] [ 5 ] [ 6 ] [ 7 ] [ 8 ] [ 9 ] [ 10 ] [ 11 ] [ A ] [ B ] [ C ] [ D ] [ E ] [ F ] [ G ] [ H ] [ suivant ]
FIXME: Besoin de plus de contenu
Debian fournit aussi un certain nombre d'outils de sécurité qui peuvent faire de votre Debian une machine dont le but serait de réaliser des tests de sécurité. Ce but inclut la protection des systèmes d'information au travers de pare-feu (soit au niveau des paquets, soit au niveau des application), de détection d'intrusion (basé sur le réseau et sur l'hôte), évaluation des vulnérabilités, antivirus, réseau privé, etc.
Depuis Debian 3.0 (woody), la distribution propose des logiciels de chiffrage intégrés dans la distribution principale (main). OpenSSH et GNU Privacy Guard sont inclus dans l'installation par défaut et le chiffrage fort est maintenant présent dans les navigateurs web, les serveurs webs, les bases de données, etc. Une intégration plus poussée du chiffrage est prévue pour des versions ultérieures. Ces logiciels, à cause de restrictions d'export au États-Unis, n'étaient pas distribuées avec la distribution principale, mais inclus seulement dans les sites non-US.
Les outils fournis dans Debian pour effectuer une évaluation des vulnérabilités à distance sont : [46]
nessus
raccess
nikto (en remplacement de whisker)
De loin, l'outil le plus complet et mis à jour est nessus qui est
composé d'un client (nessus) utilisé tel un GUI et un serveur
(nessusd) qui lance les attaques programmées. Nessus inclut des
vulnérabilités à distance pour un grand nombre de systèmes incluant les
appareils réseaux, les serveurs ftp, les serveurs www, etc. Les dernières
versions sont capables même de parcourir un site web et d'essayer de découvrir
les pages interactives qui sont susceptibles d'être attaquées. Il existe
également des clients Java et Win32 (non inclus dans Debian) qui peuvent être
utilisés pour contacter le serveur de gestion.
Notez que si vous utilisez Woody, les paquets Nessus sont vraiment
obsolètes (voir le bogue #183524). Il n'est pas
difficile de rétroporter les paquets disponibles dans unstable pour
Woody, mais si vous trouvez que c'est difficile à faire, vous pouvez
vouloir considérer l'utilisation de paquets rétroportés fournis par l'un des
coresponsables et disponibles à http://people.debian.org/~jfs/nessus/
(ces versions peuvent ne pas être aussi à jour que les versions disponibles
dans unstable).
Nikto est un scanner pour évaluer les vulnérabilités de serveur
web uniquement et qui inclut aussi des tactiques anti-IDS (la plupart ne sont
plus des anti-IDS). C'est un des meilleurs scanners pour cgi
disponible, étant capable de détecter des serveurs web et de lancer un
assortiment d'attaques contre lui. La base de donnée utilisée pour scanner
peut être facilement modifiée pour fournir de nouvelles informations.
Debian fournit quelques outils pour parcourir des hôtes distants (toutefois en n'examinant pas les vulnérabilités). Ces outils sont, dans certains cas, utilisés tels des scanners de vulnérabilités. Ceci est le premier type d'« attaque » lancé contre des hôtes distants afin de tenter de déterminer les services disponibles. À l'heure actuelle, Debian fournit :
nmap
xprobe
knocker
isic
hping2
icmpush
nbtscan (pour audits SMB /NetBIOS)
fragrouter
strobe (dans le paquet netdiag)
irpas
Tandis que queso et xprobe fournissent uniquement la
détection des systèmes d'exploitations (en utilisant les empreintes TCP/IP) [47]), nmap et
knocker font les deux, la détection du système d'exploitation et
la détection de ports ouverts sur les hôtes distants. D'un autre côté,
hping2 et icmpush peuvent être utilisés pour des
techniques d'attaques distantes ICMP.
Créé spécifiquement pour les réseaux SMB, nbtscan peut être
utilisé pour scanner des réseaux IP et retrouver des informations sur les noms
de serveurs ayant le SMB d'activé, ceci incluant : les noms
d'utilisateurs, les noms des réseaux, les adresses MAC, ...
D'un autre côté, fragrouter peut être utilisé pour tester des
systèmes de détection d'intrusion réseau et voir si le NIDS peut être éludé par
des attaques par fragmentation (de paquets).
FIXME: Vérifier Bug
#153117 (ITP fragrouter) pour voir s'il est inclus.
FIXME: ajouter des informations basées sur Debian
Linux Laptop for Road Warriors qui décrit comment utiliser Debian et
un ordinateur portable pour parcourir les réseaux sans fils (803.1). (Le lien
n'est plus là).
De nos jours, seul l'outil tiger utilisé dans Debian peut être
utilisé pour effectuer un audit interne (également appelé boîte blanche (white
box)) d'hôtes de façon à déterminer si le système de fichiers est installé
correctement, quels processus sont à l'écoute sur l'hôte, etc...
Debian fournit trois paquets qui peuvent être utilisés pour contrôler le code source de programmes C/C++ et trouver les erreurs de programmation qui peuvent mener à de potentielles fautes de sécurité :
flawfinder
rats
splint
Un réseau privé virtuel (VPN) est un groupe de deux ou plusieurs ordinateurs, habituellement connecté à un réseau privé avec un accès réseau public limité, qui communiquent de façon sécurisée via un réseau public. Les VPN peuvent connecter un seul ordinateur à un réseau privé (client-serveur) ou un réseau local (LAN) distant à un réseau privé (serveur-serveur). Les VPN incluent souvent l'utilisation du chiffrage, une authentification forte des utilisateurs ou hôtes distants et des méthodes pour cacher la topologie du réseau privé.
Debian fournit un nombre assez important de paquets pour mettre en place des réseaux privés virtuels chiffrés :
vtun
tunnelv (section non-US)
cipe-source, cipe-common
tinc
secvpn
pptp
freeswan, qui est maintenant obsolète et remplacé par
openswan (http://www.openswan.org/)
FIXME: Mettre à jour cette information car elle a été écrite en pensant à FreeSWAN. Vérifier le bogue #237764 et le Message-Id: <200412101215.04040.rmayr@debian.org>.
Le paquet OpenSWAN est probablement le meilleur choix dans l'ensemble étant donné qu'il promet d'être fonctionnel avec tout matériel supportant le protocole de sécurité d'IP, IPsec (RFC 2411). Mais, les autres paquets peuvent vous aider à obtenir un tunnel sécurisé rapidement. Le protocole de tunnel point à point (PPTP) est le protocole propriétaire Microsoft pour les VPN. Il est supporté sous Linux mais il est connu pour avoir de sérieux problèmes de sécurité.
Pour plus d'informations lire le VPN-Masquerade
HOWTO (couvre IPsec et PPTP), le VPN HOWTO
(couvre PPP à travers SSH), le Cipe
mini-HOWTO et le PPP and SSH
mini-HOWTO.
Cela vaut également le coup de vérifier Yavipin, mais aucun paquet
Debian GNU ne semble être encore disponible.
Si vous désirez fournir un serveur de tunnel pour un environnement mixte (à la
fois pour les systèmes d'exploitations Microsoft et les clients Linux) et
qu'IPsec n'est pas une option (car il n'est fourni que pour Windows 2000 et
Windows XP), vous pouvez utiliser PoPToP (serveur de tunnel point à
point), fourni dans le paquet pptpd.
Si vous voulez utiliser l'authentification et le chiffrage de Microsoft avec le
serveur fourni dans le paquet ppp, veuillez noter la remarque
suivante de la FAQ :
Il est seulement nécessaire d'utiliser PPP 2.3.8 si vous voulez une
authentification et un chiffrage compatible Microsoft MSCHAPv2/MPPE.
La raison à cela est que le correctif MSCHAPv2/MPPE actuellement
fourni (19990813) est relatif à PPP 2.3.8. Si vous n'avez pas besoin
de l'authentification ou du chiffrage compatible Microsoft, tout
source PPP 2.3.x fera l'affaire.
Vous devez cependant appliquer le correctif noyau fourni par le paquet
kernel-patch-mppe qui fournit le module pp_mppe pour pppd.
Prenez également en compte que le chiffrage dans pptp vous force à stocker les
mots de passe utilisateur en clair et que le protocole MS-CHAPv2 contient des
failles
de sécurité connues.
L'infrastructure de clé public (PKI) est une architecture de sécurité introduite pour fournir un niveau de confiance amélioré lors de l'échange d'informations sur des réseaux non sécurisés. Elle utilise le concept de clés publics et privés de chiffrage pour vérifier l'identité de l'expéditeur (signature) et pour garantir la confidentialité (chiffrage).
Lorsque vous vous intéressez aux PKI, vous vous trouvez confronté à une grande variété d'outils :
Une autorité de certificat (CA) qui peut vous fournir des certificats extérieurs et travailler sous une hiérarchie donnée
Un répertoire pour conserver les certificats publics des utilisateurs
Une base de données (?) pour maintenir les listes des certificats révoqués (CRL)
Des périphériques interopérant avec le CA pour éditer des cartes à puce/jetons USB/n'importe quoi d'autre pour stocker les certificats en sécurité
Les applications prévues pour fonctionner avec des certificats de confiance peuvent utiliser des certificats distribués par des CA pour engager une communication chiffrée et vérifier les certificats délivrés contre un CRL (pour l'authentification et les solutions de signature complète unique)
Une autorité estampillée pour les documents signés numériquement
Une console de gestion permettant une gestion correcte de tout cela (génération de certificat, contrôle de liste de révocation, etc...)
Debian GNU/Linux contient des paquets logiciels pour vous aider à résoudre ces
problèmes de PKI. Cela inclut Openssl (pour la génération de
certificats), OpenLDAP (comme répertoire pour maintenir les
certificats), gnupg et openswan (avec le support
standard X.509). Cependant, le système d'exploitation ne fournit pas (comme
dans la version Woody, Debian 3.0) d'autorité de délivrance de certificat
librement disponible comme pyCA, OpenCA ou les exemples CA d'OpenSSL.
Pour plus d'information, reportez-vous au livre Open PKI.
Debian fournit quelques certificats SSL avec la distribution pour qu'ils
puissent être installés localement. Ils sont disponibles dans le paquet
ca-certificates. Ce paquet fournit un dépôt central des
certificats qui ont été soumis à Debian et approuvé (c.-à-d. vérifiés) par le
responsable du paquet, cela est utile pour toutes les applications OpenSSL qui
vérifient des connexion SSL.
FIXME: lire debian-devel pour voir s'il y a quelque chose à ajouter à cela.
Il n'y a pas beaucoup d'outils antivirus dans Debian GNU/Linux, probablement car les utilisateurs de GNU/Linux ne sont pas réellement submergés par les virus. Le modèle de sécurité UN*X fait une distinction entre les processus privilégiés (root) et les processus appartenant aux utilisateurs, c'est pourquoi un exécutable « hostile » reçu ou créé par un utilisateur et ensuite exécuté par celui-ci ne peut pas « infecter » ou manipuler de tout autre manière le système entier. Il y a eu, toutefois, des vers et virus pour GNU/Linux même s'il n'y pas (encore) eu de virus qui se soient étendus sur les distributions Debian. Dans tous les cas, les administrateurs peuvent vouloir mettre en place des passerelles antivirus pour se protéger contre les virus affectant d'autres systèmes plus vulnérables dans leur réseau.
Debian GNU/Linux fournit à l'heure actuelle les outils suivants pour mettre en place des environnements antivirus :
Clam Antivirus, est fourni
dans Debian Sarge (future version 3.1). Des paquets sont fournis
à la fois pour le scanneur de virus (clamav), pour le démon de
scan (clamav-daemon) et pour les fichiers de données nécessaires
au scanneur. Comme conserver un antivirus à jour est critique pour qu'il
fonctionne correctement, il y a deux moyens différents pour récupérer ces
données : clamav-freshclam fournit un moyen de mettre à jour
la base de données automatiquement par l'Internet et clamav-data
qui fournit les fichiers de données directement. [48]
mailscanner un scanneur de virus pour passerelle de courriels et
un détecteur de pourriels. Utilisant sendmail ou
exim comme sa base, il peut utiliser plus de 17 moteurs de
scan de virus différents (y compris clamav)
libfile-scan-perl qui fournit File::Scan, une extension Perl pour
scanner des fichiers à la recherche de virus. Ce module peut être utilisé pour
créer un scanneur de virus indépendant de la plate-forme.
Amavis Next
Generation, fourni dans le paquet amavis-ng et
disponible dans Sarge, est un scanneur de virus de courriel qui
s'intègre avec différents serveurs de courriers (Exim, Sendmail, Postfix ou
Qmail) et gère plus de quinz moteurs de scan de virus (y compris clamav,
File::Scan et openantivirus).
sanitizer, un
outil qui utilise le paquet procmail, qui peut filtrer les
attachements de courrier, bloquer les attachements selon leurs noms de fichier
et plus.
amavis-postfix, un
script qui fournit une interface depuis un MTA vers un ou plusieurs scanners
commerciaux de virus (ce paquet est seulement construit pour le MTA
postfix).
exiscan, un scanneur de virus de courriel écrit en Perl qui
fonctionne avec Exim.
sanitizer, un scanneur pour courriel qui peut supprimer des
attachements potentiellement dangereux.
blackhole-qmail, un filtre de pourriel pour Qmail avec prise en
charge intégrée pour Clamav.
Certains démons de passerelle proposent déjà des extensions d'outils pour
construire des environnements antivirus comprenant
exim4-daemon-heavy (la version lourde du MTA Exim),
frox (un serveur mandataire FTP de cache transparent),
messagewall (un démon mandataire SMTP) et pop3vscan
(un mandataire POP3 transparent).
Comme vous pouvez le voir, Debian ne fournit pas à l'heure actuelle de logiciel
de scan antivirus dans la distribution officielle principale (3.0 au moment de
cette écriture), mais il fournit des interfaces multiples pour construire des
antivirus de passerelle. Le scanneur clamav sera fourni dans la
prochaine version officielle.
D'autres projets de logiciels libres d'antivirus qui pourraient être inclus dans une future version de Debian GNU/Linux :
FIXME: Y a-t-il un paquet fournissant un script qui télécharge les dernières
signatures de virus depuis http://www.openantivirus.org/latest.php ?
FIXME: Vérifier si scannerdaemon est le même que le démon scanner antivirus open (lire les ITPs).
Cependant, Debian ne fournira jamais des logiciels antivirus
commerciaux tels que : Panda Antivirus, NAI Netshield, Sophos Sweep, TrendMicro Interscan ou RAV. Pour plus d'infos, voir la
mini-FAQ
logiciels antivirus pour Linux. Cela ne veut pas dire que ces
logiciels ne peuvent pas être installés correctement sur un système Debian.
Pour plus d'informations sur la façon de mettre en place un système de
détection des virus, veuillez lire l'article de Dave Jones Construire un système
de détection des virus des courriels pour votre réseau.
Il est très courant de nos jours de signer numériquement (et parfois de chiffrer) des courriels. Vous pouvez, par exemple, trouver que de nombreuses personnes participant sur des listes de diffusion signent leur courriel de la liste. Les signatures de clé public sont actuellement le seul moyen de vérifier qu'un courriel a été envoyé par l'expéditeur et non par une autre personne.
Debian GNU/Linux fournit un certain nombre de clients de messagerie avec des
fonctionnalité de signature de courriels intégrés qui interagissent soit avec
gnupg ou avec pgp :
evolution,
mutt,
kmail,
mozilla ou Thunderbird (fourni dans le paquet
mozilla-thunderbird) si le greffon Enigmail est installé, lequel est
fourni par mozilla-enigmail et par
mozilla-thunderbird-enigmail.
sylpheed. Selon la façon dont évolue la version stable de ce
paquet, vous pouvez avoir besoin d'utilise la version dernier cri,
sylpheed-claws.
gnus, qui, lorsqu'il est installé avec le paquet
mailcrypt, est une interface emacs à
gnupg.
kuvert, qui fournit cette fonctionnalité indépendamment de votre
client de messagerie choisi en interagissant avec l'agent de transport de
courrier (MTA).
Les serveurs de clé vous permettent de télécharger des clés publiques publiées
pour pouvoir vérifier des signatures. Un tel serveur est http://wwwkeys.pgp.net.
gnupg peut récupérer automatiquement des clés publics qui ne sont
pas déjà dans votre porte-clés (keyring) public. Par exemple, pour configurer
gnupg pour utiliser le serveur de clés ci-dessus, éditez le
fichier ~/.gnupg/options et ajoutez la ligne suivante : [49]
keyserver wwwkeys.pgp.net
La plupart des serveurs de clés sont liés afin que, quand votre clé publique
est ajoutée à un serveur, l'addition soit propagée à tous les autres serveurs
de clés publiques. Il existe également un paquet Debian GNU/Linux
debian-keyring fournissant les clés publiques des développeurs
Debian. Les portes-clés gnupg sont installés dans
/usr/share/keyrings/.
Pour plus d'informations :
[ précédent ] [ Table des matières ] [ 1 ] [ 2 ] [ 3 ] [ 4 ] [ 5 ] [ 6 ] [ 7 ] [ 8 ] [ 9 ] [ 10 ] [ 11 ] [ A ] [ B ] [ C ] [ D ] [ E ] [ F ] [ G ] [ H ] [ suivant ]
Manuel de sécurisation de Debian
Version: 3.4, Sun, 06 Nov 2005 22:34:04 +0100jfs@debian.orgdebian-l10n-french@lists.debian.org