[ précédent ] [ Table des matières ] [ 1 ] [ 2 ] [ 3 ] [ 4 ] [ 5 ] [ 6 ] [ 7 ] [ 8 ] [ 9 ] [ 10 ] [ 11 ] [ 12 ] [ A ] [ B ] [ C ] [ D ] [ E ] [ F ] [ G ] [ H ] [ suivant ]
FIXME : Besoin de plus de contenu.
Debian fournit un certain nombre d'outils qui peuvent rendre un système Debian apte à une utilisation sécurisée, y compris la protection des systèmes d'information au travers de pare-feu (qui agissent au niveau des paquets ou de la couche application), de systèmes de détection d'intrusions (basés sur le réseau ou sur l'hôte), d'évaluation des vulnérabilités, d'antivirus, de réseaux privés, etc.
Depuis Debian 3.0 (Woody), la distribution propose des logiciels de chiffrement intégrés à la distribution principale (main). OpenSSH et GNU Privacy Guard font partie de l'installation par défaut et le chiffrement fort est maintenant présent dans les navigateurs web, les serveurs web, les bases de données, etc. Une intégration plus poussée du chiffrement est prévue pour les versions ultérieures. Ces logiciels, à cause de restrictions d'exportation aux États-Unis, n'étaient pas distribués avec la distribution principale, mais inclus seulement dans les sites hors des États-Unis.
Les outils fournis dans Debian pour effectuer une évaluation des vulnérabilités à distance sont : [60]
nessus ;
raccess ;
nikto (en remplacement de whisker).
De loin l'outil le plus complet et mis à jour, nessus est
composé d'un client (nessus) utilisé comme une interface
graphique et d'un serveur (nessusd) qui lance les attaques
programmées. Nessus connait des vulnérabilités à distance pour un grand
nombre de systèmes y compris les appareils réseaux, les serveurs FTP, les
serveurs HTTP, etc. Les dernières versions sont même capables de
parcourir un site web et d'essayer de découvrir les pages interactives qui
sont susceptibles d'être attaquées. Il existe également des clients Java et
Win32 (non fournis dans Debian) qui peuvent être utilisés pour contacter le
serveur de gestion.
nikto est un scanner pour évaluer les vulnérabilités d'un
serveur HTTP et qui utilise des stratégies afin de contrer les systèmes de
détection d'intrusions (IDS). Les IDS évoluant également, la plupart de ces
techniques finissent par ne plus être efficace à titre d'anti-IDS).
C'est tout de même l'un des meilleurs scanners disponibles pour tester les CGI
et il est capable de détecter le serveur web utilisé afin de ne lancer les
attaques que si elles ont des chances de fonctionner. De plus, la base de
données utilisée pour scanner peut être facilement modifiée afin d'ajouter
de nouveaux tests.
Debian fournit quelques outils pour parcourir des hôtes distants (toutefois en n'examinant pas les vulnérabilités). Ces outils sont, dans certains cas, utilisés comme des scanners de vulnérabilités. C'est le premier type d'« attaques » lancées contre des hôtes distants afin de tenter de déterminer les services disponibles. À l'heure actuelle, Debian fournit :
nmap ;
xprobe ;
p0f ;
knocker ;
isic ;
hping3 ;
icmpush ;
nbtscan (pour audits SMB ou NetBIOS) ;
fragrouter ;
strobe (dans le paquet netdiag) ;
irpas.
Même si xprobe ne permet que la détection des systèmes
d'exploitation (en utilisant des empreintes TCP/IP), nmap et
knocker font les deux : la détection du système
d'exploitation et la détection de l'état des ports sur un système distant.
D'un autre côté, hping3 et icmpush peuvent être
utilisés dans le cadre d'attaques à distance par ICMP.
Conçu spécifiquement pour les réseaux SMB, nbtscan peut être
utilisé pour scanner les réseaux IP et obtenir des informations sur les noms
des serveurs ayant activé la prise en charge de NetBIOS, y compris l'adresse
IP, le nom NetBIOS de l'ordinateur, les noms des utilisateurs connectés, les
noms des réseaux, les adresses MAC, etc.
D'un autre côté, fragrouter peut être utilisé pour tester des
systèmes de détection d'intrusion réseau et voir si le NIDS peut être
éludé par des attaques par fragmentation (de paquets).
FIXME : Vérifier le bogue
nº 153117 (ITP fragrouter) pour voir s'il est inclus.
FIXME : Ajouter des informations basées sur Debian
Linux Laptop for Road Warriors qui décrit comment utiliser Debian
et un ordinateur portable pour parcourir les réseaux sans fil (803.1).
De nos jours, seul l'outil tiger utilisé dans Debian peut être
utilisé pour effectuer un audit interne (également appelé boîte blanche,
« white box ») d'hôtes de façon à déterminer si le système de
fichiers est installé correctement, les processus à l'écoute sur
l'hôte, etc.
Debian fournit plusieurs paquets qui peuvent être utilisés afin de contrôler le code source de programmes écrits en C ou C++ et d'identifier des erreurs de programmation qui pourraient conduire à des failles de sécurité exploitables :
flawfinder ;
rats ;
splint ;
pscan.
Un réseau privé virtuel (VPN) est un groupe d'au moins deux ordinateurs, habituellement reliés à un réseau privé offrant un accès réseau public limité, qui communiquent de façon sécurisée par l'intermédiaire d'un réseau public. Les VPN peuvent connecter un seul ordinateur à un réseau privé (client serveur) ou un réseau local (LAN) distant à un réseau privé (serveur serveur). Les VPN incluent souvent l'utilisation du chiffrement, une authentification forte des utilisateurs ou hôtes distants et des méthodes pour cacher la topologie du réseau privé.
Debian fournit un nombre assez important de paquets pour mettre en place des réseaux privés virtuels chiffrés :
vtun ;
tunnelv (section non-US) ;
cipe-source, cipe-common ;
tinc ;
secvpn ;
pptp ;
openvpn ;
openswan (http://www.openswan.org/).
FIXME : Mettre à jour cette information car elle a été écrite en pensant à FreeSWAN. Vérifier le bogue nº 237764 et le Message-Id: <200412101215.04040.rmayr@debian.org>.
Le paquet OpenSWAN est probablement le meilleur choix dans l'ensemble étant donné qu'il promet d'être fonctionnel avec tout matériel gérant le protocole de sécurité d'IP, IPsec (RFC 2411). Mais, les autres paquets peuvent vous aider à obtenir un tunnel sécurisé rapidement. Le protocole de tunnel point à point (PPTP) est le protocole propriétaire Microsoft pour les VPN. Il est pris en charge sous Linux mais il est connu pour avoir de sérieux problèmes de sécurité.
Pour plus d'informations, lire le VPN
Masquerade HOWTO (couvre IPsec et PPTP), le VPN HOWTO
(couvre PPP à travers SSH), le Cipe
mini-HOWTO et le PPP and SSH
mini-HOWTO.
Cela vaut également le coup de vérifier Yavipin, mais aucun paquet
Debian ne semble être disponible pour l'instant.
Si vous désirez fournir un serveur de tunnel pour un environnement mixte (à
la fois pour les systèmes d'exploitation Microsoft et les clients Linux) et
qu'IPsec n'est pas une option (car il n'est fourni que pour Windows 2000 et
Windows XP), vous pouvez utiliser PoPToP (serveur de tunnel point à
point), fourni dans le paquet pptpd.
Si vous voulez utiliser l'authentification et le chiffrage de Microsoft avec le
serveur fourni dans le paquet ppp, veuillez noter la remarque
suivante de la FAQ :
Utiliser PPP 2.3.8 n'est nécessaire que si vous voulez une
authentification et un chiffrement compatible Microsoft MSCHAPv2/MPPE.
La raison est que le correctif MSCHAPv2/MPPE actuellement fourni
(19990813) est relatif à PPP 2.3.8. Si vous n'avez pas besoin de
l'authentification ou du chiffrement compatible Microsoft, n'importe
quelle source PPP 2.3.x fera l'affaire.
Vous devez cependant appliquer le correctif noyau fourni par le paquet
kernel-patch-mppe qui fournit le module pp_mppe pour pppd.
N'oubliez pas que le chiffrement dans ppptp vous oblige à stocker les mots de
passe utilisateur en clair et que le protocole MS-CHAPv2 contient des failles de
sécurité connues.
L'infrastructure de clefs publiques (PKI) est une architecture de sécurité introduite pour fournir un niveau de confiance amélioré lors de l'échange d'informations sur des réseaux non sécurisés. Elle utilise le concept de clefs de chiffrement publique et privée pour vérifier l'identité de l'expéditeur (signature) et garantir la confidentialité (chiffrement).
Lorsque vous vous intéressez aux PKI, vous vous trouvez confronté à une grande variété d'outils :
une autorité de certification (Certificate Authority – CA) qui peut vous fournir des certificats extérieurs et travailler sous une hiérarchie donnée ;
un répertoire pour conserver les certificats publics des utilisateurs ;
une base de données pour maintenir une liste des certificats révoqués (Certificate Revocation Lists – CRL) ;
des périphériques interopérants avec le CA pour éditer des cartes à puce, jetons USB ou n'importe quoi d'autre pour stocker les certificats en sécurité ;
les applications prévues pour fonctionner avec des certificats de confiance peuvent utiliser des certificats distribués par des CA pour engager une communication chiffrée et vérifier les certificats délivrés contre un CRL (pour l'authentification et les solutions de signature complète unique) ;
une autorité pour certifier les dates et signer numériquement des documents ;
une console de gestion permettant une gestion correcte de tout cela (génération de certificats, contrôle de listes de révocation, etc.)
Debian GNU/Linux contient des paquets logiciels pour vous aider à résoudre
ces problèmes de PKI, y compris OpenSSL (pour la génération de
certificats), OpenLDAP (comme répertoire pour maintenir les
certificats), gnupg et openswan (avec la prise en
charge de la norme X.509). Cependant, le système d'exploitation ne fournit
pas (depuis la version Woody, Debian 3.0) d'autorité de délivrance de
certificat librement disponible comme pyCA, OpenCA ou les exemples CA d'OpenSSL.
Pour plus d'informations, reportez-vous au livre Open PKI.
Debian fournit quelques certificats SSL avec la distribution pour qu'ils
puissent être installés localement. Ils sont disponibles dans le paquet
ca-certificates. Ce paquet fournit un dépôt central des
certificats qui ont été soumis à Debian et approuvé (c'est-à-dire
vérifiés) par le responsable du paquet, cela est utile pour toutes les
applications OpenSSL qui vérifient des connexion SSL.
FIXME : Lire debian-devel pour voir s'il y a quelque chose à ajouter à cela.
Il n'y a pas beaucoup d'antivirus fournis avec Debian, probablement parce que c'est un problème qui affecte très peu les utilisateurs de Linux. En fait, la plupart des antivirus disponibles sous Linux servent à protéger des ordinateurs fonctionnant sous un autre système d'exploitation. Cela s'explique par le modèle de sécurité UNIX qui fait une distinction entre les processus privilégiés (root) et les processus appartenant aux utilisateurs. Ainsi, un programme exécutable « hostile » qu'un utilisateur non privilégié a reçu ou créé et ensuite exécuté ne peut pas infecter ou d'une autre façon manipuler le système d'exploitation lui-même. Cependant, quelques virus et vers affectant Linux existent, même si aucun n'a jamais réussi à se répandre de façon significative sous Debian. Dans tous les cas, les administrateurs peuvent vouloir mettre en place des passerelles antivirus pour se protéger contre les virus affectant d'autres systèmes plus vulnérables dans leur réseau.
Debian GNU/Linux fournit à l'heure actuelle les outils suivants pour mettre en place des environnements antivirus.
Clam Antivirus, fourni depuis
Debian Sarge (version 3.1). Des paquets sont fournis à la fois
pour le scanneur de virus (clamav), pour le démon de scan
(clamav-daemon) et pour les fichiers de données nécessaires au
scanneur. Puisqu'un antivirus doit être à jour afin d'être vraiment utile,
il y a trois moyens différents pour récupérer ces données :
clamav-freshclam fournit un moyen de mettre à jour la base de
données automatiquement par Internet, clamav-data fournit les
fichiers de données directement.[61]
mailscanner un scanneur de virus pour passerelle de courriels et
un détecteur de pourriels. Fonctionnant avec sendmail,
postfix ou exim, il peut utiliser plus de
17 types de scanneurs de virus différents dont clamav.
libfile-scan-perl qui fournit File::Scan, une extension Perl pour
scanner des fichiers à la recherche de virus. Ce module peut être utilisé
pour créer un scanneur de virus indépendant de la plate-forme.
Amavis Next
Generation, fourni par le paquet amavis-ng et
disponible dans Sarge, est un scanneur de virus de courriel qui
s'intègre avec différents serveurs de courriers (Exim, Sendmail, Postfix ou
Qmail) et qui gère plus de 15 moteurs de recherche de virus (y compris clamav,
File::Scan et openantivirus).
sanitizer, un
outil qui utilise le paquet procmail, qui peut filtrer les
attachements de courrier, bloquer les attachements selon leurs noms de fichier
et plus.
amavis-postfix, un
script qui fournit une interface depuis un MTA vers un ou plusieurs scanners
commerciaux de virus (ce paquet est seulement construit pour le MTA
postfix).
exiscan, un scanneur de virus de courriel écrit en Perl qui
fonctionne avec Exim.
blackhole-qmail, un filtre de pourriel pour Qmail avec prise en
charge intégrée pour Clamav.
Certains démons de passerelle proposent déjà des extensions d'outils pour
construire des environnements antivirus, y compris
exim4-daemon-heavy (la version lourde du MTA Exim),
frox (un serveur mandataire FTP de cache transparent),
messagewall (un démon mandataire SMTP) et pop3vscan
(un mandataire POP3 transparent).
Présentement, clamav est l'unique scanneur d'antivirus inclus
dans la branche officielle de Debian. En revanche, de nombreuses interfaces
qui permettent d'utiliser l'antivirus avec des passerelles gérant différents
protocoles sont offertes.
D'autres projets de logiciels libres d'antivirus qui pourraient être inclus dans une future version de Debian GNU/Linux :
Open
Antivirus (consultez les bogues nº 150698 (ITP
oav-scannerdaemon) et nº 150695 (ITP
oav-update)).
FIXME : Y a-t-il un paquet fournissant un script qui télécharge les
dernières signatures de virus depuis http://www.openantivirus.org/latest.php ?
FIXME : Vérifier si scannerdaemon est le même que le démon scanner antivirus open (consultez les ITP).
Cependant, Debian ne fournira jamais de logiciels antivirus
propriétaires et impossibles à redistribuer tels que : Panda Antivirus,
NAI Netshield, Sophos Sweep,
TrendMicro Interscan ou
RAV. Cela ne veut
évidemment pas dire que ces logiciels ne peuvent pas être installés
correctement sur un système Debian[62].
Pour plus d'informations sur la façon de mettre en place un système de
détection des virus, veuillez lire l'article de Dave Jones Construire un système
de détection des virus des courriels pour le réseau.
Il est très courant de nos jours de signer numériquement (et parfois de chiffrer) des courriels. Vous pouvez, par exemple, trouver que de nombreuses personnes participant sur des listes de diffusion signent leur courriel de la liste. Les signatures numériques sont actuellement le seul moyen de vérifier qu'un message a été envoyé par l'expéditeur et non par une autre personne.
Debian GNU/Linux fournit un certain nombre de clients de messagerie avec des
fonctionnalité de signature de courriels intégrés qui interagissent soit
avec gnupg ou avec pgp :
evolution ;
mutt ;
kmail ;
icedove (version sans marque de Mozilla Thunderbird) avec le
greffon Enigmail. Ce
greffon est fourni par le paquet enigmail ;
sylpheed. Selon la façon dont évolue la version stable de ce
paquet, vous pouvez avoir besoin d'utiliser la version dernier cri,
sylpheed-claws ;
gnus, qui, lorsqu'il est installé avec le paquet
mailcrypt, est une interface emacs à
gnupg ;
kuvert, qui fournit cette fonctionnalité indépendamment du
client de messagerie choisi en interagissant avec l'agent de transport de
courrier (MTA).
Les serveurs de clefs permettent de télécharger des clefs publiques publiées
pour pouvoir vérifier des signatures. Un tel serveur est http://wwwkeys.pgp.net.
gnupg peut récupérer automatiquement des clefs publics qui ne
sont pas déjà dans votre trousseau (keyring) public. Par exemple, pour
configurer gnupg pour utiliser le serveur de clefs ci-dessus,
modifiez le fichier ~/.gnupg/options en ajoutant la ligne
suivante : [63]
keyserver wwwkeys.pgp.net
La plupart des serveurs de clefs sont liés de tel sorte que, lorsqu'une clef
publique est ajoutée à un serveur, l'addition soit propagée à tous les
autres serveurs de clefs publiques. Le paquet debian-keyring
fournit aussi les clefs publiques des développeurs Debian. Les trousseaux
gnupg sont installés dans /usr/share/keyrings/.
Pour de plus amples renseignements :
[ précédent ] [ Table des matières ] [ 1 ] [ 2 ] [ 3 ] [ 4 ] [ 5 ] [ 6 ] [ 7 ] [ 8 ] [ 9 ] [ 10 ] [ 11 ] [ 12 ] [ A ] [ B ] [ C ] [ D ] [ E ] [ F ] [ G ] [ H ] [ suivant ]
Securing Debian Manual
Version: 3.13, Sun, 08 Apr 2012 02:48:09 +0000jfs@debian.org