Quelles règles d'or appliquer pour préserver la sûreté d'un réseau Linux ?

Comment protéger les systèmes et les données ?

Grâce à des principes simples et à la mise en oeuvre d'outils libres réputés pour

leur efficacité, on apprendra dans ce cahier à améliorer l'architecture d'un réseau

d'entreprise et à le protéger contre les intrusions, dénis de service et autres

attaques. On verra notamment comment filtrer des flux (netfilter/IPtables...),

sécuriser la messagerie (milter-greylist, ClamAV...), chiffrer avec SSL (stunnel...)

et (Open)SSH. On étudiera les techniques et outils de surveillance (métrologie avec

MRTG, empreintes Tripwire, détection d'intrusion avec des outils tel Snort, création

de tableaux de bord) et l'authentification unique (SSO) avec LDAP, Kerberos,

PAM, les certificats X509 et les PKI...

Enjeux et objectifs de sécurité Typologie des risques : motivations des pirates et failles des systèmes

Distributions Linux sécurisées Étude de cas : un réseau à sécuriser Web et services associés Base

de données DNS Messagerie Partage de fichiers Impression Prévention : scans, refonte de la topologie

Compromission et mise en évidence des vulnérabilités Kiddies, warez et rebonds Machine compromise

: traces Sauveg3rde Analyse du disque piraté Toolkit Coroner Rootkit (tOrn) Sniffer (mode

PROMISCUOUS) Traces effacées Porte dérobée (backdoor) Détection à partir des logs Chiffrement

avec SSH, SSL et X.509 Authentification et connexion SSL OpenSSH Authentification par mot de passe

ou à clé publique Relais X11 L'alternative VPN Sécuriser les systèmes Installation automatisée et

mise à jour APT, Red Hat Network Limitation des services : processus, ports réseau Permissions sur

les fichiers Droits suid et sgid. sudo Options de montage Filtrage réseau avec TCP Wrapper cron et

syslog Configuration sécurisée de la pile TCP/IP Source routing Protection contre les attaques IP spoo-fing

et SYN flooding Pare-feu IPtables Extension noyau Sécuriser les services réseau : DNS, web et

mail Installation de BIND Spam et relais ouvert Antivirus et antispam : sendmail, milter, milter-greylist

et ClamAV IMAP Serveur web et sécurité Sécuriser les accès avec stunnel Configurer un client pour

SSL Authentification par certificat Filtrage en entrée de site Filtrage sans état (drapeaux TCP) et avec

états Politiques «tout ouvert sauf» et «tout fermé sauf» FTP et les filtres Topologie, segmentation et

DMZ Cloisonner zones et flux Topologie mono ou double pare-feu DMZ Limites des VLAN VLAN

(port physique ou adresse MAC) Proxy et NAT Netfilter/IPtables : tables et chaînes, écriture des règles,

marquage, TOS, TTL, mode bridge Proxy ARP Sécurité Wi-Fi 802. 1x Accès frauduleux et risque d'écoute

Surveillance et audit syslog Tripwire Métrologie réseau avec MRTG Configuration SNMP du pare-feu

NMAP Audit réseau avec Nessus Détection d'intrusion avec Snort Pot de miel Indicateurs

Gestion des comptes utilisateur et authentification Les fichiers /etc/group, /etc/passwd, /etc/shadow,

/etc/gshadow Gestion des comptes PAM Name Service Switch (NSS) NIS LDAP, Kerberos

Authentification unique ou «Single Sign On» Infrastructure à gestion de clés (PKI) OpenSSL et les IGC

Création des certificats X.509 : bi-clés RSA, PKCS12 Mise en oeuvre de NIS, LDAP et Kerberos.