[ précédent ] [ Table des matières ] [ 1 ] [ 2 ] [ 3 ] [ 4 ] [ 5 ] [ 6 ] [ 7 ] [ 8 ] [ 9 ] [ 10 ] [ 11 ] [ A ] [ B ] [ C ] [ D ] [ E ] [ F ] [ G ] [ H ] [ suivant ]
FIXME: Besoin de plus de contenu.
Debian fournit un certain nombre d'outils qui peuvent rendre votre système Debian apte à une utilisation dans le domaine de la sécurité. Ce but inclut la protection des systèmes d'information au travers de pare-feux (qui agissent au niveau des paquets ou de la couche application), de systèmes de détection d'intrusions (basés sur le réseau ou sur l'hôte), d'évaluation des vulnérabilités, d'antivirus, de réseaux privés, etc.
Depuis Debian 3.0 (Woody), la distribution propose des logiciels de chiffrage intégrés dans la distribution principale (main). OpenSSH et GNU Privacy Guard sont inclus dans l'installation par défaut et le chiffrage fort est maintenant présent dans les navigateurs web, les serveurs web, les bases de données, etc. Une intégration plus poussée du chiffrage est prévue pour les versions ultérieures. Ces logiciels, à cause de restrictions d'exportation aux États-Unis, n'étaient pas distribués avec la distribution principale, mais inclus seulement dans les sites non-US[46].
Les outils fournis dans Debian pour effectuer une évaluation des vulnérabilités à distance sont : [47]
nessus
raccess
nikto
(en remplacement de whisker
)
De loin, l'outil le plus complet et mis à jour est nessus
qui est
composé d'un client (nessus
) utilisé tel un GUI et un serveur
(nessusd
) qui lance les attaques programmées. Nessus inclut des
vulnérabilités à distance pour un grand nombre de systèmes incluant les
appareils réseaux, les serveurs FTP, les serveurs HTTP, etc. Les dernières
versions sont même capables de parcourir un site web et d'essayer de découvrir
les pages interactives qui sont susceptibles d'être attaquées. Il existe
également des clients Java et Win32 (non inclus dans Debian) qui peuvent être
utilisés pour contacter le serveur de gestion.
Nikto
est un scanner pour évaluer les vulnérabilités d'un serveur
HTTP et qui utilise des stratégies afin de contrer les systèmes de détection
d'intrusions (IDS). Les IDS évoluant également, la plupart de ces techniques
finissent par ne plus être efficace à titre d'anti-IDS). C'est tout
de même l'un des meilleurs scanners disponible pour tester les CGI et il est
capable de détecter le serveur web utilisé afin de ne lancer que les attaques
qui ont des chances de fonctionner. De plus, la base de données utilisée pour
scanner peut être facilement modifiée afin d'ajouter de nouveaux tests.
Debian fournit quelques outils pour parcourir des hôtes distants (toutefois en n'examinant pas les vulnérabilités). Ces outils sont, dans certains cas, utilisés tels des scanners de vulnérabilités. Ceci est le premier type d'« attaque » lancé contre des hôtes distants afin de tenter de déterminer les services disponibles. À l'heure actuelle, Debian fournit :
nmap
xprobe
p0f
knocker
isic
hping3
icmpush
nbtscan
(pour audits SMB /NetBIOS)
fragrouter
strobe
(dans le paquet netdiag
)
irpas
Alors que xprobe
ne permet que la détection des systèmes
d'exploitation (en utilisant des empreintes TCP/IP), nmap
et
knocker
font les deux : la détection du système
d'exploitation et la détection de l'état des ports sur un système distant.
D'un autre côté, hping3
et icmpush
peuvent être
utilisés dans le cadre d'attaques à distance via ICMP.
Conçu spécifiquement pour les réseaux SMB, nbtscan
peut être
utilisé pour scanner les réseaux IP et obtenir des informations sur les noms
des serveurs ayant activé le support NetBIOS. Ceci inclut l'adresse IP, le nom
NetBIOS de l'ordinateur, les noms des utilisateurs connectés, les noms des
réseaux, les adresses MAC, etc.
D'un autre côté, fragrouter
peut être utilisé pour tester des
systèmes de détection d'intrusion réseau et voir si le NIDS peut être éludé par
des attaques par fragmentation (de paquets).
FIXME: Vérifier Bug
#153117
(ITP fragrouter) pour voir s'il est inclus.
FIXME: ajouter des informations basées sur Debian
Linux Laptop for Road Warriors
qui décrit comment utiliser Debian et
un ordinateur portable pour parcourir les réseaux sans fil (803.1).
De nos jours, seul l'outil tiger
utilisé dans Debian peut être
utilisé pour effectuer un audit interne (également appelé boîte blanche
(« white box » en anglais)) d'hôtes de façon à déterminer si le
système de fichiers est installé correctement, quels processus sont à l'écoute
sur l'hôte, etc.
Debian fournit plusieurs paquets qui peuvent être utilisés afin de contrôler le code source de programmes écrits en C/C++ et d'identifier des erreurs de programmation qui pourraient conduire à des failles de sécurité exploitables :
flawfinder
rats
splint
pscan
Un réseau privé virtuel (VPN) est un groupe de deux ordinateurs ou plus, habituellement reliés à un réseau privé offrant un accès réseau public limité, qui communiquent de façon sécurisée via un réseau public. Les VPN peuvent connecter un seul ordinateur à un réseau privé (client-serveur) ou un réseau local (LAN) distant à un réseau privé (serveur-serveur). Les VPN incluent souvent l'utilisation du chiffrage, une authentification forte des utilisateurs ou hôtes distants et des méthodes pour cacher la topologie du réseau privé.
Debian fournit un nombre assez important de paquets pour mettre en place des réseaux privés virtuels chiffrés :
vtun
tunnelv
(section non-US)
cipe-source
, cipe-common
tinc
secvpn
pptp
openvpn
openswan
(http://www.openswan.org/
)
FIXME: Mettre à jour cette information car elle a été écrite en pensant à FreeSWAN. Vérifier le bogue #237764 et le Message-Id: <200412101215.04040.rmayr@debian.org>.
Le paquet OpenSWAN est probablement le meilleur choix dans l'ensemble étant donné qu'il promet d'être fonctionnel avec tout matériel supportant le protocole de sécurité d'IP, IPsec (RFC 2411). Mais, les autres paquets peuvent vous aider à obtenir un tunnel sécurisé rapidement. Le protocole de tunnel point à point (PPTP) est le protocole propriétaire Microsoft pour les VPN. Il est supporté sous Linux mais il est connu pour avoir de sérieux problèmes de sécurité.
Pour plus d'informations, lire le VPN
Masquerade HOWTO
(couvre IPsec et PPTP), le VPN HOWTO
(couvre PPP à travers SSH), le Cipe
mini-HOWTO
et le PPP and SSH
mini-HOWTO
.
Cela vaut également le coup de vérifier Yavipin
, mais aucun paquet
Debian ne semble être disponible pour l'instant.
Si vous désirez fournir un serveur de tunnel pour un environnement mixte (à la
fois pour les systèmes d'exploitation Microsoft et les clients Linux) et
qu'IPsec n'est pas une option (car il n'est fourni que pour Windows 2000 et
Windows XP), vous pouvez utiliser PoPToP (serveur de tunnel point à
point), fourni dans le paquet pptpd
.
Si vous voulez utiliser l'authentification et le chiffrage de Microsoft avec le
serveur fourni dans le paquet ppp
, veuillez noter la remarque
suivante de la FAQ :
Il est seulement nécessaire d'utiliser PPP 2.3.8 si vous voulez une authentification et un chiffrage compatible Microsoft MSCHAPv2/MPPE. La raison à cela est que le correctif MSCHAPv2/MPPE actuellement fourni (19990813) est relatif à PPP 2.3.8. Si vous n'avez pas besoin de l'authentification ou du chiffrage compatible Microsoft, n'importe quelle source PPP 2.3.x fera l'affaire.
Vous devez cependant appliquer le correctif noyau fourni par le paquet
kernel-patch-mppe
qui fournit le module pp_mppe pour pppd.
Prenez également en compte que le chiffrage dans pptp vous force à stocker les
mots de passe utilisateur en clair et que le protocole MS-CHAPv2 contient des
failles
de sécurité connues
.
L'infrastructure de clés publiques (PKI) est une architecture de sécurité introduite pour fournir un niveau de confiance amélioré lors de l'échange d'informations sur des réseaux non sécurisés. Elle utilise le concept de clés de chiffrage publiques et privées pour vérifier l'identité de l'expéditeur (signature) et pour garantir la confidentialité (chiffrage).
Lorsque vous vous intéressez aux PKI, vous vous trouvez confronté à une grande variété d'outils :
Une autorité de certification (Certificate Authority – CA) qui peut vous fournir des certificats extérieurs et travailler sous une hiérarchie donnée.
Un répertoire pour conserver les certificats publics des utilisateurs.
Une base de données pour maintenir une liste des certificats révoqués (Certificate Revocation Lists – CRL).
Des périphériques interopérants avec le CA pour éditer des cartes à puce/jetons USB/n'importe quoi d'autre pour stocker les certificats en sécurité.
Les applications prévues pour fonctionner avec des certificats de confiance peuvent utiliser des certificats distribués par des CA pour engager une communication chiffrée et vérifier les certificats délivrés contre un CRL (pour l'authentification et les solutions de signature complète unique).
Une autorité pour certifier les dates et signer numériquement des documents.
Une console de gestion permettant une gestion correcte de tout cela (génération de certificats, contrôle de listes de révocation, etc.)
Debian GNU/Linux contient des paquets logiciels pour vous aider à résoudre ces
problèmes de PKI. Cela inclut OpenSSL
(pour la génération de
certificats), OpenLDAP
(comme répertoire pour maintenir les
certificats), gnupg
et openswan
(avec le support
standard X.509). Cependant, le système d'exploitation ne fournit pas (comme
dans la version Woody, Debian 3.0) d'autorité de délivrance de certificat
librement disponible comme pyCA, OpenCA
ou les exemples CA d'OpenSSL.
Pour plus d'informations, reportez-vous au livre Open PKI
.
Debian fournit quelques certificats SSL avec la distribution pour qu'ils
puissent être installés localement. Ils sont disponibles dans le paquet
ca-certificates
. Ce paquet fournit un dépôt central des
certificats qui ont été soumis à Debian et approuvé (c.-à-d. vérifiés) par le
responsable du paquet, cela est utile pour toutes les applications OpenSSL qui
vérifient des connexion SSL.
FIXME: lire debian-devel pour voir s'il y a quelque chose à ajouter à cela.
Il n'y a pas beaucoup d'antivirus fournis avec Debian, probablement parce que c'est un problème qui affecte très peu les utilisateurs de Linux. En fait, la plupart des antivirus disponibles sous Linux servent à protéger des ordinateurs fonctionnant sous un autre système d'exploitation. Ceci s'explique par le modèle de sécurité UNIX qui fait une distinction entre les processus privilégiés (root) et les processus appartenant aux utilisateurs. Ainsi, un programme exécutable « hostile » qu'un utilisateur non privilégié a reçu ou créé et ensuite exécuté ne peut pas infecter ou d'une autre façon manipuler le système d'exploitation lui-même. Cependant, quelques virus et vers affectant Linux existent, même si aucun n'a jamais réussi à se répandre de façon significative sous Debian. Dans tous les cas, les administrateurs peuvent vouloir mettre en place des passerelles antivirus pour se protéger contre les virus affectant d'autres systèmes plus vulnérables dans leur réseau.
Debian GNU/Linux fournit à l'heure actuelle les outils suivants pour mettre en place des environnements antivirus :
Clam Antivirus
, fourni depuis
Debian Sarge (version 3.1). Des paquets sont fournis à la fois
pour le scanneur de virus (clamav
), pour le démon de scan
(clamav-daemon
) et pour les fichiers de données nécessaires au
scanneur. Puisqu'un antivirus doit être à jour afin d'être vraiment utile, il
y a trois moyens différents pour récupérer ces données :
clamav-freshclam
fournit un moyen de mettre à jour la base de
données automatiquement par l'Internet, clamav-data
fournit les
fichiers de données directement [48] et il y a debian-volatile
, un dépôt officiel
de Debian qui offre à la fois plusieurs mises à jour quotidiennes et un support
officiel de l'équipe de sécurité de Debian.
mailscanner
un scanneur de virus pour passerelle de courriels et
un détecteur de pourriels. Fonctionnant avec sendmail
,
postfix
ou exim
, il peut utiliser plus de
17 types de scanneurs de virus différents dont clamav
.
libfile-scan-perl
qui fournit File::Scan, une extension Perl pour
scanner des fichiers à la recherche de virus. Ce module peut être utilisé pour
créer un scanneur de virus indépendant de la plate-forme.
Amavis Next
Generation
, fourni par le paquet amavis-ng
et
disponible dans Sarge, est un scanneur de virus de courriel qui
s'intègre avec différents serveurs de courriers (Exim, Sendmail, Postfix ou
Qmail) et qui gère plus de 15 moteurs de recherche de virus (y compris clamav,
File::Scan et openantivirus).
sanitizer
, un
outil qui utilise le paquet procmail
, qui peut filtrer les
attachements de courrier, bloquer les attachements selon leurs noms de fichier
et plus.
amavis-postfix
, un
script qui fournit une interface depuis un MTA vers un ou plusieurs scanners
commerciaux de virus (ce paquet est seulement construit pour le MTA
postfix
).
exiscan
, un scanneur de virus de courriel écrit en Perl qui
fonctionne avec Exim.
blackhole-qmail
, un filtre de pourriel pour Qmail avec prise en
charge intégrée pour Clamav.
Certains démons de passerelle proposent déjà des extensions d'outils pour
construire des environnements antivirus comprenant
exim4-daemon-heavy
(la version lourde du MTA Exim),
frox
(un serveur mandataire FTP de cache transparent),
messagewall
(un démon mandataire SMTP) et pop3vscan
(un mandataire POP3 transparent).
Présentement, clamav
est l'unique scanneur d'antivirus inclus dans
la branche officielle de Debian. En revanche, de nombreuses interfaces qui
permettent d'utiliser l'antivirus via des passerelles supportant différents
protocoles sont offertes.
D'autres projets de logiciels libres d'antivirus qui pourraient être inclus dans une future version de Debian GNU/Linux :
FIXME: Y a-t-il un paquet fournissant un script qui télécharge les dernières
signatures de virus depuis http://www.openantivirus.org/latest.php
?
FIXME: Vérifier si scannerdaemon est le même que le démon scanner antivirus open (lire les ITP).
Cependant, Debian ne fournira jamais de logiciels antivirus
propriétaires et impossibles à redistribuer tels que : Panda Antivirus,
NAI Netshield, Sophos Sweep
,
TrendMicro Interscan
ou
RAV
. Cela ne veut
évidemment pas dire que ces logiciels ne peuvent pas être installés
correctement sur un système Debian[49].
Pour plus d'informations sur la façon de mettre en place un système de
détection des virus, veuillez lire l'article de Dave Jones Construire un système
de détection des virus des courriels pour votre réseau
.
Il est très courant de nos jours de signer numériquement (et parfois de chiffrer) des courriels. Vous pouvez, par exemple, trouver que de nombreuses personnes participant sur des listes de diffusion signent leur courriel de la liste. Les signatures de clé public sont actuellement le seul moyen de vérifier qu'un courriel a été envoyé par l'expéditeur et non par une autre personne.
Debian GNU/Linux fournit un certain nombre de clients de messagerie avec des
fonctionnalité de signature de courriels intégrés qui interagissent soit avec
gnupg
ou avec pgp
:
evolution
,
mutt
,
kmail
,
mozilla
ou Thunderbird (fourni dans le paquet
mozilla-thunderbird
) si le greffon Enigmail
est installé, lequel est
fourni par mozilla-enigmail
et par
mozilla-thunderbird-enigmail
.
sylpheed
. Selon la façon dont évolue la version stable de ce
paquet, vous pouvez avoir besoin d'utiliser la version dernier cri,
sylpheed-claws
.
gnus
, qui, lorsqu'il est installé avec le paquet
mailcrypt
, est une interface emacs
à
gnupg
.
kuvert
, qui fournit cette fonctionnalité indépendamment de votre
client de messagerie choisi en interagissant avec l'agent de transport de
courrier (MTA).
Les serveurs de clé vous permettent de télécharger des clés publiques publiées
pour pouvoir vérifier des signatures. Un tel serveur est http://wwwkeys.pgp.net
.
gnupg
peut récupérer automatiquement des clés publics qui ne sont
pas déjà dans votre porte-clés (keyring) public. Par exemple, pour configurer
gnupg
pour utiliser le serveur de clés ci-dessus, éditez le
fichier ~/.gnupg/options
et ajoutez la ligne suivante : [50]
keyserver wwwkeys.pgp.net
La plupart des serveurs de clés sont liés afin que, quand votre clé publique
est ajoutée à un serveur, l'addition soit propagée à tous les autres serveurs
de clés publiques. Il existe également un paquet Debian GNU/Linux
debian-keyring
fournissant les clés publiques des développeurs
Debian. Les porte-clefs gnupg
sont installés dans
/usr/share/keyrings/
.
Pour plus d'informations :
[ précédent ] [ Table des matières ] [ 1 ] [ 2 ] [ 3 ] [ 4 ] [ 5 ] [ 6 ] [ 7 ] [ 8 ] [ 9 ] [ 10 ] [ 11 ] [ A ] [ B ] [ C ] [ D ] [ E ] [ F ] [ G ] [ H ] [ suivant ]
Manuel de sécurisation de Debian
Version: 3.4, Mon, 30 Aug 2010 12:26:13 +0200jfs@debian.org
debian-l10n-french@lists.debian.org