Linux sécurité informatique cours Jean-Antoine Moreau

354 vues

Publié le

Linux sécurité informatique
cours Jean-Antoine Moreau
Contact on Mobile Website http://jeanantoine.moreau.free.fr

Publié dans : Ingénierie
0 commentaire
2 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

Aucun téléchargement
Vues
Nombre de vues
354
Sur SlideShare
0
Issues des intégrations
0
Intégrations
5
Actions
Partages
0
Téléchargements
0
Commentaires
0
J’aime
2
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

Linux sécurité informatique cours Jean-Antoine Moreau

  1. 1. Contact http://jeanantoine.moreau.free.fr LINUXLINUX Performance - Sécurité - Contre MesurePerformance - Sécurité - Contre Mesure Base de stratégieBase de stratégie Le RéseauLe Réseau prise en compte des clientsprise en compte des clients AndroidAndroid Jean-Antoine Moreau (contenu des deux cours)
  2. 2. © Jean-Antoine Moreau copying and reproduction prohibited Contact http://jeanantoine.moreau.free.fr I. Présentation II. Introduction à la Sécurité  Logique  Physique  Contres Mesures I. Prise en Compte dans le paramétrage des équipements
  3. 3. © Jean-Antoine Moreau copying and reproduction prohibited Contact http://jeanantoine.moreau.free.fr  Le partage ou la mise en commun sur service, avec des droits et une Méthode, définis et formalisés:  des données  des applications  des services • des ressources • de serveurs dédiés  En local  Sur site(s) distant(s)  Se fait par le(s) réseau(x)  Les équipements communiquent à l’aide d’un langage:  Un même vocabulaire  Une même grammaire  Un même PROTOCOLE
  4. 4. © Jean-Antoine Moreau copying and reproduction prohibited Contact http://jeanantoine.moreau.free.fr TCP / IP TCP – Transfert Control Protocol IP – Internet Protocol
  5. 5. © Jean-Antoine Moreau copying and reproduction prohibited Contact http://jeanantoine.moreau.free.fr • IP v4 • IP v6 • Amélioration de • La performance • La sécurité • Pas totalement ascendant compatible avec IP v4, d’autant par ses ajouts fonctionnels • Compatibilité de fait par les protocoles et services • TCP (Transmission control protocol) • UDP (User Datagram Protocol) • ICMP (Internet Control Message Protocol) • IGMP (Internet Group Management Protocol) • DNS (Domain Name System)
  6. 6. © Jean-Antoine Moreau copying and reproduction prohibited Contact http://jeanantoine.moreau.free.fr Les Couches Réseaux 1. Physique 2. Liaison 3. Réseau 4. Transport 5. Session 6. Présentation 7. Application
  7. 7. © Jean-Antoine Moreau copying and reproduction prohibited Contact http://jeanantoine.moreau.free.fr COUCHES RESEAUX dans l’utilisation quotidienne physique basses processus de base ou Réseau transport APPLICATIONS
  8. 8. © Jean-Antoine Moreau copying and reproduction prohibited Contact http://jeanantoine.moreau.free.fr COUCHES RESEAUXCOUCHES RESEAUX • Physique – Carte Ethernet – Câble – Contrôleur (hardware) – … • Couche Basse – Pilote – Logiciel équipement – … • Couche réseau – Couche IP • ICMP (Internet Control Message Protocol) • ARP (Address resolution protocol) • … • Couche Transport • UDP (User Datagram Protocol) • TCP (Transmission Control Protocol) • …
  9. 9. © Jean-Antoine Moreau copying and reproduction prohibited Contact http://jeanantoine.moreau.free.fr SECURITE -StratégieSECURITE -Stratégie • Avant une tentative d’intrusion:  Le(s) Pirate s’informe sur • Le système • L’organisation • Les modes et méthode d’utilisation • Les utilisateurs – Il cherche la faille • Organisationnelle • Humaine • Technique • Technologique – Il analyse et réfléchit
  10. 10. © Jean-Antoine Moreau copying and reproduction prohibited Contact http://jeanantoine.moreau.free.fr DEFAUTS DU TCP-IPDEFAUTS DU TCP-IP • La norme • La documentation sont ouvertes et diffusées • Les évolutions • Possibilités de lien entre réseaux hétérogènes • Localisation par l’adresse IP • Si IP v6 est plus sécurisé, les outils de gestion peuvent baissés le niveau de sécurité • Risque sur : – FTP – telnet – http • Sécurisation – ssh – https – ips
  11. 11. © Jean-Antoine Moreau copying and reproduction prohibited Contact http://jeanantoine.moreau.free.fr OUTILS DU PIRATEOUTILS DU PIRATE • Les outils de l’ingénierie réseau – Il peut même utiliser (piloter) les votres à distance • Les fonctions utilisées pour l’espionnage • Scann • Reniflage • Analyse réseau • Capture de trafic • Information sur les connexions – Physique – Logique » Dont SGBDR et données partagées sur le cloud • Routage et route de l’information – Physique – Logique • Trace – Trace laissée par l’information (différent du routage) Toute fragmentation sur une route de l’information est un risque de faille de sécurité
  12. 12. © Jean-Antoine Moreau copying and reproduction prohibited Contact http://jeanantoine.moreau.free.fr OUTILS DU PIRATEOUTILS DU PIRATE • La base – ping – tracert (trace route) – whois • Les chevaux de Troie • Les spywares • Les virus • Les informations de vos sondes de sécurité (surveillance)
  13. 13. © Jean-Antoine Moreau copying and reproduction prohibited Contact http://jeanantoine.moreau.free.fr OUTILS DU PIRATEOUTILS DU PIRATE • La souplesse • L’adaptabilité • La motivation
  14. 14. © Jean-Antoine Moreau copying and reproduction prohibited Contact http://jeanantoine.moreau.free.fr Le Cheval de Troie ou leLe Cheval de Troie ou le PROCESSUSPROCESSUS  La ville de Troie est assiégée par les armées grecques réunies. Elle est imprenable par les tactiques habituelles. I. Ulysse, roi grec d'Ithaque, fait construire un cheval de bois. II. Il se cache avec ses compagnons dans le cheval. III. Le cheval est rendu visible à la ville de Troie. IV. Les troyens transportent le cheval dans Troie (dans leur citée, chez eux) V. La nuit venue : 1. Ulysse et ses compagnons sortent du cheval 2. Ouvrent les portes de la ville de Troie 3. Les armées grecs envahissent la ville de Troie
  15. 15. © Jean-Antoine Moreau copying and reproduction prohibited Contact http://jeanantoine.moreau.free.fr Le Cheval de Troie ou leLe Cheval de Troie ou le PROCESSUSPROCESSUS  La ville de Troie est assiégée par les armées grecques réunies. Elle est imprenable par les tactiques habituelles. I. Ulysse, roi grec d'Ithaque, fait construire un cheval de bois. II. Il se cache avec ses compagnons dans le cheval. III. Le cheval est rendu visible à la ville de Troie. IV. Les troyens transportent le cheval dans Troie. V. La nuit venue : 1. Ulysse et ses compagnons sortent du cheval 2. Ouvrent les portes de la ville de Troie 3. Les armées grecs envahissent la ville de Troie  Aujourd’hui c’est ce processus qui est le plus souvent utilisé.  La porte est ouverte de/par l’interne, elle est rarement forcée
  16. 16. © Jean-Antoine Moreau copying and reproduction prohibited Contact http://jeanantoine.moreau.free.fr Le Cheval de Troie ou leLe Cheval de Troie ou le PROCESSUSPROCESSUS  Aujourd’hui c’est ce processus qui est le plus souvent utilisé.  La porte est ouverte par l’interne, elle est rarement forcée Deux cas : Le pirate veut :  réaliser et gagner un défi ou bien  voler ou détruire Dans les deux cas le pirate veut une valorisation directe ou par tiers
  17. 17. © Jean-Antoine Moreau copying and reproduction prohibited Contact http://jeanantoine.moreau.free.fr Travail de Préparation etTravail de Préparation et d’Installation du Pirated’Installation du Pirate • Il lance l’installation en votre absence • Il vous l’a fait lancer en tâche de fond (vous l’aidez sans le savoir) • Lorsque vous tapez sur une séquence de touche – PC – Téléphone fixe – Téléphone portable • Lors de l’appel d’une application • Lors de l’installation – d’une application – d’une mise à jour – d’un patch – d’une macro
  18. 18. © Jean-Antoine Moreau copying and reproduction prohibited Contact http://jeanantoine.moreau.free.fr VIRUS & MACROVIRUS & MACRO • Virus – Petit exécutable dont le but est de perturber le fonctionnement : • D’une application • D’un système • D’un réseau • D’une partie d’équipement  Ou de vous prendre des informations • Macros – Petit programme qui permet d’automatiser des taches ou de créer des fonctions nouvelles • Exemple macro pour tableur – Aucune macro ne peut être sécurisée à 100% – La compatibilité ascendante de certaines macro peut altérer la sécurité applicative – Couches (transport à application)
  19. 19. © Jean-Antoine Moreau copying and reproduction prohibited Contact http://jeanantoine.moreau.free.fr SpywareSpyware • Logiciel espion – Fonctionne comme un cheval de Troie – Peut envoyer le contenu • de vos disques • de mail en en temps réel ou différé • de sms ou mms • de vos conversations téléphoniques • de votre agenda • de vos contacts avec leur téléphone et adresse postale et mail • La configuration de vos serveurs – Réseau – Ports – Fonctionne sur • Serveur • PC • Téléphone portable – (tous systèmes d’exploitation) • Téléphone fixe (via internet) ToIP
  20. 20. © Jean-Antoine Moreau copying and reproduction prohibited Contact http://jeanantoine.moreau.free.fr ExempleExemple I. Une entreprise ou organisation a activités stratégiques. II. Un responsable reçoit un mms avec photo ou attachement (publicité ou autres). III. Il ouvre l’attachement, et hop le spyware nouvelle génération s’installe. IV. Il enverra périodiquement où lorsqu’une séquence de touche sera involontairement tapée, le contenu de(s) conversations téléphonique(s), sms, mail, de votre agenda, de vos contacts, de votre carnet d’adresse. V. Plus subtile, le spyware le(s) fait envoyer directement à une adresse définie, a une heure définie, ou lors du démarrage ou de l’arrêt de votre PC. Pour votre téléphone portable, le déclenchement peut se faire à chaque sms ou à chaque appel reçu ou émis.
  21. 21. © Jean-Antoine Moreau copying and reproduction prohibited Contact http://jeanantoine.moreau.free.fr Risques - ConséquencesRisques - Conséquences • Votre concurrent peut être informé en temps réel – du contenu de négociation – de l’état d’esprit du négociateur • Les informations sont envoyées aux frais du piraté, de l’espionné.  Un contrôle des consommations régulier
  22. 22. © Jean-Antoine Moreau copying and reproduction prohibited Contact http://jeanantoine.moreau.free.fr • Pour éviter d’être impacter, il est souhaitable: – de se dissimuler – de tromper – d’utiliser et de mettre à disposition une cible dédiée – de mettre en place • des leurres • des contres-mesures – Cas de marchés ou projets stratégiques de savoir pirater le spyware pour le retourner contre son pilote et son auteur.
  23. 23. © Jean-Antoine Moreau copying and reproduction prohibited Contact http://jeanantoine.moreau.free.fr Camouflages utilisés par le pirate informatiqueCamouflages utilisés par le pirate informatique • L’adresse ip • Le routage • Point d’accès WiFi • Point d’accès réseau par accès distant • Exécution de programme sur machine distante • Furtivité – Proxy • Enchainement • Cascade • Parallelisme • Utilisation de logiciels et outils de maintenance natifs sur les équipements • Pc • Téléphonie • Serveur • Réseau – Couche basse – IP
  24. 24. © Jean-Antoine Moreau copying and reproduction prohibited Contact http://jeanantoine.moreau.free.fr Camouflages simples pour vousCamouflages simples pour vous • Brouiller les pistes – Faire croire que: • Vous n’êtes pas vous ou pas là • Vous n’êtes plus là • Vous avez une seconde identitée (virtuelle) • Diriger le pirate : – Dans une forêt où il se perdra • Le faire rebondir d’un arbre à l’autre, en lui faisant croire qu’il avance (routage factice, adresse IP démultipliée virtuellement). • Rediriger le chez lui
  25. 25. © Jean-Antoine Moreau copying and reproduction prohibited Contact http://jeanantoine.moreau.free.fr Notion de PROXY - MULTI PROXYNotion de PROXY - MULTI PROXY • Proxy : – Tempon entre PC /réseau | Internet – Permet de • consulter sur internet • de stoker les pages – Vu d’Internet c’est le proxy qui consulte • Multi Proxy – Utilise simultanément plusieurs adresses • Proxy furtif Internet PROXY
  26. 26. © Jean-Antoine Moreau copying and reproduction prohibited Contact http://jeanantoine.moreau.free.fr Types de PROXYTypes de PROXY • Proxy : – Tempon entre PC /réseau | Internet – Permet de • consulter sur internet • de stoker les pages – Vu d’Internet c’est le proxy qui consulte • Multi Proxy – Utilise simultanément plusieurs adresses pour • Acces • Recherche • Consultation • Téléchargement • Proxy furtif – Anonymat complet
  27. 27. © Jean-Antoine Moreau copying and reproduction prohibited Contact http://jeanantoine.moreau.free.fr Logiciels spécifiquesLogiciels spécifiques • Logiciels d’anonymat • Logiciels de Contre Mesures
  28. 28. © Jean-Antoine Moreau copying and reproduction prohibited Contact http://jeanantoine.moreau.free.fr WiFiWiFi • La Sécurité est discutable • Un seul équipement peu sécurisé intégré à un réseau sécurisé, en pénalise l’efficience ! • Le cryptage est crackable • Le firmware de routeur WiFi grand public est crackable, les mots de passe se trouvent sur internet, ainsi que les méthodes de re- configuration.
  29. 29. © Jean-Antoine Moreau copying and reproduction prohibited Contact http://jeanantoine.moreau.free.fr Second CoursSecond Cours • Rappel du Premier cours • Le Réseau • Configuration / Services / Sécurité
  30. 30. Contact http://jeanantoine.moreau.free.fr Package TCP-IP V4 &V6 Services réseaux Réseaux, Sous-Réseaux, Classes d’adresses Proxy, SSH, Remote, RPC, RSA, NFS, NIS, LDAP (classe et objets, héritage, modélisation UML) DCHP serveur, clé RSA, ACL, ftp, rsyns, ….. Apache serveur Web (virtual host, tuning, sécurité) Serveurs DNS primaire, secondaire,secours Sécurité d’accès, gestion groupes et utilisateurs Utilisation en Architecture de Secours © Jean-Antoine Moreau Reproductions et Copies interdites Droits d’auteur gérés par l’ ADAGP www.adagp.fr
  31. 31. © Jean-Antoine Moreau copying and reproduction prohibited Contact http://jeanantoine.moreau.free.fr I. Présentation II. Introduction à la Sécurité • Logique • Physique • Contres Mesures I. Réseau • Les Services • Le Paramétrage Implémentation duImplémentation du cours précédentcours précédent
  32. 32. © Jean-Antoine Moreau copying and reproduction prohibited Contact http://jeanantoine.moreau.free.fr  Le partage ou la mise en commun sur service:  des données  des applications  des services • des ressources • de serveurs dédiés  En local  Sur site(s) distant(s)  Se fait par le(s) réseau(x)  Les équipements communiquent à l’aide d’un langage:  Un même vocabulaire  Une même grammaire  Un même PROTOCOLE RESEAU
  33. 33. © Jean-Antoine Moreau copying and reproduction prohibited Contact http://jeanantoine.moreau.free.fr TCP / IPTCP / IP TCP – Transfert Control Protocol IP – Internet Protocol
  34. 34. © Jean-Antoine Moreau copying and reproduction prohibited Contact http://jeanantoine.moreau.free.fr • IP v4 • IP v6 • Amélioration de • La performance • La sécurité • Pas totalement ascendant compatible avec IP v4, d’autant par ses ajouts fonctionnels • Compatibilité de fait par les protocoles et services • TCP (Transmission control protocol) • UDP (User Datagram Protocol) • ICMP (Internet Control Message Protocol) • IGMP (Internet Group Management Protocol) • DNS (Domain Name System)
  35. 35. © Jean-Antoine Moreau copying and reproduction prohibited Contact http://jeanantoine.moreau.free.fr Les Couches RéseauxLes Couches Réseaux 1. Physique 2. Liaison 3. Réseau 4. Transport 5. Session 6. Présentation 7. Application
  36. 36. © Jean-Antoine Moreau copying and reproduction prohibited Contact http://jeanantoine.moreau.free.fr COUCHES RESEAUXCOUCHES RESEAUX dans l’utilisation quotidiennedans l’utilisation quotidienne physique basses processus de base ou Réseau transport APPLICATIONS
  37. 37. © Jean-Antoine Moreau copying and reproduction prohibited Contact http://jeanantoine.moreau.free.fr COUCHES RESEAUXCOUCHES RESEAUX • Physique – Carte Ethernet – Câble – Contrôleur (hardware) – … • Couche Basse – Pilote – Logiciel équipement – … • Couche réseau – Couche IP • ICMP (Internet Control Message Protocol) • ARP (Address resolution protocol) • … • Couche Transport • UDP (User Datagram Protocol) • TCP (Transmission Control Protocol) • …
  38. 38. © Jean-Antoine Moreau copying and reproduction prohibited Contact http://jeanantoine.moreau.free.fr SECURITESECURITE – Stratégie - Rappel • Avant une tentative d’intrusion:  Le(s) Pirate s’informe sur • Le système • L’organisation • Les modes et méthode d’utilisation • Les utilisateurs – Il cherche la faille • Organisationnelle • Humaine • Technique • Technologique – Il analyseanalyse et réfléchitréfléchit
  39. 39. © Jean-Antoine Moreau copying and reproduction prohibited Contact http://jeanantoine.moreau.free.fr RISQUES DU TCP-IPRISQUES DU TCP-IP • La norme • La documentation • Les évolutions sont ouverts et diffusés pratiquement gratuitement • Les distributions • Les sources • Possibilités de lien entre réseaux hétérogènes • Localisation par l’adresse IP • Si IP v6 est plus sécurisé, les outils de gestion non à jour peuvent baisser le niveaubaisser le niveau de sécuritéde sécurité • Risque sur : – FTP – telnet – http • Sécurisation – ssh – https – ips
  40. 40. © Jean-Antoine Moreau copying and reproduction prohibited Contact http://jeanantoine.moreau.free.fr OUTILS DU PIRATEOUTILS DU PIRATE • Les outils de l’ingénierie réseau – Il peut même utiliser (piloter) les votres à distance • Les fonctions utilisées pour l’espionnage • Scann • Reniflage • Analyse réseau • Capture de trafic • Information sur les connexions – Physique – Logique » Dont SGBDR et données sur le cloud • Routage et route de l’information – Physique – Logique • Trace – Trace laissée par l’information (différent du routage) Toute fragmentation sur une route de l’information est un risque de faille de sécurité
  41. 41. © Jean-Antoine Moreau copying and reproduction prohibited Contact http://jeanantoine.moreau.free.fr OUTILS DU PIRATEOUTILS DU PIRATE • La base – ping – tracert (trace route) – whois • Les chevaux de Troie • Les spywares – Plus élaborer que les chevaux de Troie • Les virus – Plus spécialisés que les spywares • Les informations de vos sondes de sécurité (surveillance) • Les informations que vous lui donnez en répondant à des questionnaires, dont vous ne connaissez pas l’émetteur
  42. 42. © Jean-Antoine Moreau copying and reproduction prohibited Contact http://jeanantoine.moreau.free.fr Le Cheval de Troie ou leLe Cheval de Troie ou le PROCESSUSPROCESSUS  La ville de Troie est assiégée par les armées grecques réunies. Elle est imprenable par les tactiques habituelles. I. Ulysse, roi grec d'Ithaque, fait construire un cheval de bois. II. Il se cache avec ses compagnons dans le cheval. III. Le cheval est rendu visible à la ville de Troie. IV. Les troyens transportent le cheval dans Troie (dans leur citée, chez eux) V. La nuit venue : 1. Ulysse et ses compagnons sortent du cheval (Ils sont dans la ville) 2. Ouvrent les portes de la ville de Troie 3. Les armées grecs envahissent la ville de Troie Ulyse a utilisé un des principes de SunTzu dans l’art de la guerre
  43. 43. © Jean-Antoine Moreau copying and reproduction prohibited Contact http://jeanantoine.moreau.free.fr Le Cheval de Troie ou leLe Cheval de Troie ou le PROCESSUSPROCESSUS  La ville de Troie est assiégée par les armées grecques réunies. Elle est imprenable par les tactiques habituelles. I. Ulysse, roi grec d'Ithaque, fait construire un cheval de bois. II. Il se cache avec ses compagnons dans le cheval. III. Le cheval est rendu visible à la ville de Troie. IV. Les troyens transportent le cheval dans Troie. V. La nuit venue : 1. Ulysse et ses compagnons sortent du cheval 2. Ouvrent les portes de la ville de Troie 3. Les armées grecs envahissent la ville de Troie Ulyse a utilisé un des principes de SunTzu dans l’Art de la Guerre  Aujourd’hui c’est ce processus qui est le plus souvent utilisé.  La porte est ouverte par l’interne, elle est rarement forcée.
  44. 44. © Jean-Antoine Moreau copying and reproduction prohibited Contact http://jeanantoine.moreau.free.fr Le Cheval de Troie ou leLe Cheval de Troie ou le PROCESSUSPROCESSUS  Aujourd’hui c’est ce processus qui est le plus souvent utilisé.  La porte est ouverte par l’interne, elle est rarement forcée Deux cas : Le pirate veut :  réaliser et gagner un défi ou bien  voler ou détruire ou perturber Dans les deux cas le pirate veut une valorisation directe ou par un tiers Guerre Concurrentielle
  45. 45. © Jean-Antoine Moreau copying and reproduction prohibited Contact http://jeanantoine.moreau.free.fr IMPACTIMPACT La connaissance puis la maîtrise de l’information tierce est une arme économique Ce qui implique de nouvelles responsabilités aux postes et fonctions de : Responsable Réseaux et Télécoms Responsable d’Architecture (fonctionnelles ou technique) Responsable de Production Informatique Des Responsabilités sur la Stratégie de Sécurité de l’Information
  46. 46. © Jean-Antoine Moreau copying and reproduction prohibited Contact http://jeanantoine.moreau.free.fr Travail de Préparation etTravail de Préparation et d’Installation du Pirated’Installation du Pirate • Il prépare sa configuration d’installation en votre absence • Il vous a fait lancer l’installation en tâche de fond (vous l’aidez sans le savoir, vous faites une partie de son travail), votre PC est devenu lent… • Lorsque vous tapez sur une séquence de touche – PC – Téléphone fixe – Téléphone portable • Lors de l’appel d’une application • Lors de l’installation – d’une application – d’une mise à jour – d’un patch – d’une macro
  47. 47. © Jean-Antoine Moreau copying and reproduction prohibited Contact http://jeanantoine.moreau.free.fr VIRUS & MACROVIRUS & MACRO • Virus – Petit exécutable dont le but est de perturber le fonctionnement • D’une application • D’un système • D’un réseau • D’une partie d’équipement • Macros – Petit programme qui permet d’automatiser des taches ou de créer des fonctions nouvelles • Exemple macro pour tableur ou traitement de texte – Aucune macro ne peut être sécurisé à 100% – La compatibilité ascendante de certaines macros peut altérer la sécurité applicative (fichiers partagés, Client de Messagerie) – Couches (transport à application)
  48. 48. © Jean-Antoine Moreau copying and reproduction prohibited Contact http://jeanantoine.moreau.free.fr SpywareSpyware • Logiciel espion – Fonctionne comme un cheval de Troie – Peut envoyer le contenu • de vos disques • de mail en en temps réel ou différé • de sms ou mms • de vos conversations téléphoniques (par sms, mms, mail attachement au format audio) • La configuration de vos serveurs – Réseau – Ports – Fonctionne sur • Serveur • PC • Téléphone portable – (tous systèmes d’exploitation) • Téléphone fixe (via internet) ToIP
  49. 49. © Jean-Antoine Moreau copying and reproduction prohibited Contact http://jeanantoine.moreau.free.fr ExempleExemple I. Une entreprise ou organisation a activités stratégiques. II. Un responsable reçoit un mms avec photo ou attachement (jeux ou autres). III. Il ouvre l’attachement, et hop le spyware nouvelle génération s’installe. IV. Il enverra périodiquement où lorsqu’une séquence de touche sera involontairement tapée, le contenu de(s) conversations téléphonique(s), sms, mail, contacts, carnet d’adresse. V. Plus subtile, le spyware le(s) fait envoyer directement à une adresse définie, à vos frais. VI. Mieux, la messagerie de votre téléphone portable est synchronisée avec celle de votre ou vos PC (professionnel et personnel)  Mieux et avec les mêmes login /password  Ainsi vous aidez les pirates…
  50. 50. © Jean-Antoine Moreau copying and reproduction prohibited Contact http://jeanantoine.moreau.free.fr Il faut donc une Méthodologie dont le périmètre couvre au minimum ces points
  51. 51. © Jean-Antoine Moreau copying and reproduction prohibited Contact http://jeanantoine.moreau.free.fr Risques - ConséquencesRisques - Conséquences • Le concurrent peut être informé en temps réel – du contenu de négociation – de l’état d’esprit du négociateur • Les informations sont envoyées aux frais du piraté, de l’espionné. Un contrôle des consommations régulier Mise en place d’antivirus, même sur les téléphones portables
  52. 52. © Jean-Antoine Moreau copying and reproduction prohibited Contact http://jeanantoine.moreau.free.fr • Pour éviter d’être impacter, il est aussi souhaitable: – de se dissimuler – de tromper – d’utiliser et de mettre à disposition une cible dédiée – de mettre en place • des leurres • des contres-mesures – Cas de marchés ou projets stratégiques de savoir pirater le spyware pour le retourner contre son pilote et son auteur
  53. 53. © Jean-Antoine Moreau copying and reproduction prohibited Contact http://jeanantoine.moreau.free.fr Camouflages utilisés par le pirate informatiqueCamouflages utilisés par le pirate informatique • L’adresse IP • Le routage • Point d’accès WiFi • Point d’accès réseau par accès distants – Tous accès type RTC (réseau téléphonique commuté) / MODEM – Les accès par : en Cyber Café • Exécution de programme sur machine distante (via ou par machine distante) • Furtivité – Proxy • Enchainement • Cascade • Parallelisme • Utilisation de logiciels et outils de maintenance natifs sur les équipements • PC • Téléphonie • Serveur • Réseau – Couche basse – IP
  54. 54. © Jean-Antoine Moreau copying and reproduction prohibited Contact http://jeanantoine.moreau.free.fr Camouflages simples pour vous • Brouiller les pistes – Faire croire que: • Vous n’êtes pas là (vos données & informations) • Vous n’êtes plus là • Vous avez une seconde identité (virtuelle) • Perdez le pirate.
  55. 55. © Jean-Antoine Moreau copying and reproduction prohibited Contact http://jeanantoine.moreau.free.fr Camouflages simples pour vousCamouflages simples pour vous Le Net est un nuage d’informations et de leurs supports, intégrant les outils de transferts, diffusions, et de traitement. Pour ne pas vous faire prendre vos informations, il ne faut pas :  Qu’on les trouvent dans ce nuage  Qu’on trouve leurs outils supports  Qu’on puisse utiliser le couple Application(s) / Données
  56. 56. © Jean-Antoine Moreau copying and reproduction prohibited Contact http://jeanantoine.moreau.free.fr Camouflages simples pour vous C’est l’image du poids d’une information, qui lui donne de l’intérêt vu de l’extérieur de l’organisation utilisatrice.
  57. 57. © Jean-Antoine Moreau copying and reproduction prohibited Contact http://jeanantoine.moreau.free.fr Notion de PROXY - MULTI PROXYNotion de PROXY - MULTI PROXY • Proxy : – Tempon entre PC /réseau | Internet – Permet de • Consulter sur internet • De stoker les pages – Vu d’Internet c’est le proxy qui consulte • Multi Proxy – Utilise simultanément plusieurs adresses • Proxy furtif Internet PROXY
  58. 58. © Jean-Antoine Moreau copying and reproduction prohibited Contact http://jeanantoine.moreau.free.fr Types de PROXY • Proxy : – Tempon entre PC /réseau | Internet – Permet de • consulter sur internet • de stoker les pages – Vu d’Internet c’est le proxy qui consulte • Multi Proxy – Utilise simultanément plusieurs adresse pour • Acces • Recherche • Consultation • Téléchargement • Proxy furtif – Anonymat complet
  59. 59. © Jean-Antoine Moreau copying and reproduction prohibited Contact http://jeanantoine.moreau.free.fr Logiciels spécifiquesLogiciels spécifiques • Logiciels d’anonymat • Logiciels de Contre Mesures – Brouiller, Leurrer
  60. 60. © Jean-Antoine Moreau copying and reproduction prohibited Contact http://jeanantoine.moreau.free.fr WiFiWiFi • La Sécurité est discutable • Un seul équipement peu sécurisé intégré à un réseau sécurisé, en pénalise l’efficience ! • Le cryptage est crackable • Le firmware de routeur WiFi grand public est crackable, les mots de passe se trouvent sur internet, ainsi que les méthodes de re- configuration (même à distance).
  61. 61. © Jean-Antoine Moreau copying and reproduction prohibited Contact http://jeanantoine.moreau.free.fr Attribution de l’Adresse RéseauAttribution de l’Adresse Réseau • Manuel ce qui demandera une gestion manuelle de • Table de routage • Table d’adressage – Pour chaque réseau • Automatique – Par service DHCP ( dynamic host control protocol) • Réservation – de plages d’adresse – d’adresse fixe • Définir durée des baux • Cohérence de serveurs DHCP répartis sur du multi-sites • La configuration protocole / service / serveur / client DHCP sera vu en dans ce cours • Les accès à l’administration de ces services ne doivent pas être accessibles, ou visibles de l’extérieur de la map
  62. 62. © Jean-Antoine Moreau copying and reproduction prohibited Contact http://jeanantoine.moreau.free.fr ConfigurationConfiguration • Outils d’administration fournis avec la distribution en cohérence avec la version de Operating System support. • Le Web Admin • Le Linux conf
  63. 63. © Jean-Antoine Moreau copying and reproduction prohibited Contact http://jeanantoine.moreau.free.fr ConfigurationConfiguration  Définir la configuration de base – IP – DHCP  Définir la configuration routage  Définir la configuration service de noms • Sysconfig • Network script • Interface • Nsswitch • ipconfig • hostname • netstat • nslookup • arp
  64. 64. © Jean-Antoine Moreau copying and reproduction prohibited Contact http://jeanantoine.moreau.free.fr Services RéseauxServices Réseaux • Permettent  La communication entre équipements  Le client serveur (2 Tier)  Le client léger (3 Tier) • Service principal • Inetd • internet service daemon • Lien Service / Application • En client serveur une application peut être associée à un port  La sécurité dans ce cas est aussi liée aux propriétés de ce lien • Les services sont aussi associés à des ports • ftp • Telnet • DNS • http  L’utilisation des ports par défaut sans précaution, facilite le piratage  Le wrapper  Contrôle d’accès aux services par les ACL (acces control list)  xinetd  Remplace l’inetd, paramétrage plus fin.
  65. 65. © Jean-Antoine Moreau copying and reproduction prohibited Contact http://jeanantoine.moreau.free.fr RAPPELRAPPEL • TCP - IP – Couche supérieure / couche transport • UDP • TCP – Est utilisée par les applicatifs – Couche IP • ICMP • ARP – etc
  66. 66. © Jean-Antoine Moreau copying and reproduction prohibited Contact http://jeanantoine.moreau.free.fr Ajout d’un équipementAjout d’un équipement Physique Logique
  67. 67. © Jean-Antoine Moreau copying and reproduction prohibited Contact http://jeanantoine.moreau.free.fr ProcessusProcessus • Hardware – Carte réseau – Câble ou équipement de connexion réseau – Cas du Wifi • Pilote de la carte • Configuration IP • Configuration des Services • Test – Intégrées dans les procédures d’exploitation informatique • Mise en service
  68. 68. © Jean-Antoine Moreau copying and reproduction prohibited Contact http://jeanantoine.moreau.free.fr Communication : AdresseCommunication : Adresse • Pour communiquer les hôtes doivent appartenir à un même réseau • Définir l’adresse IP dans le réseau de classe réseau correspondante • Format de l’adresse – n1.n2.n3.n4 • Classes réseaux – A grands réseaux ( n1 : 1 à 126) – B réseaux intermédiaires ( n1 : 128 à 191) – C petits réseaux (n1 : 192 à 223) • Net mask (masque réseau) – A 255.0.0.0 – B 255.255.0.0 – C 255.255.255.0
  69. 69. © Jean-Antoine Moreau copying and reproduction prohibited Contact http://jeanantoine.moreau.free.fr Processus • Processus utilisables (natifs) – NFS • Network file system – DNS • Domain name system – FTP • File transfert protocol – Telnet • Connexion terminal non sécurisée – DHCP • Gestion automatisée des adresses (entre autres) – SSH • Connexion distante sécurisée – Etc.
  70. 70. © Jean-Antoine Moreau copying and reproduction prohibited Contact http://jeanantoine.moreau.free.fr Commandes de baseCommandes de base • Sookets actives – #netstat –an|more • Port ouvert par application – #netstat _am|more • Ports actifs du système – #nmap –st <Ipadresse> • ConnexionTCP – # netstat -tn
  71. 71. © Jean-Antoine Moreau copying and reproduction prohibited Contact http://jeanantoine.moreau.free.fr Utilitaire Outils ProcessusUtilitaire Outils Processus RéseauxRéseaux • Connexion à distance – telnet (peu sécurisé) – ssh (sécurisé) – rlogin remote login • Transfert – ftp (peu sécurisé) – scp (sécurisé) – rcp lié au remote login (berkley) – wget (write ou get) transfert en ftp ou http (non sécurisé avec trace) • Synchronisation de fichier – rsync le remote synchro, utilise ssh • Execution à distance – rsh remote shell lié au rlogin
  72. 72. © Jean-Antoine Moreau copying and reproduction prohibited Contact http://jeanantoine.moreau.free.fr TELNET • Connexion à distance – Type remote login – Non sécurisée – Traçable (avec trace externe) – Avec émulation de terminal
  73. 73. © Jean-Antoine Moreau copying and reproduction prohibited Contact http://jeanantoine.moreau.free.fr FTP File Transfert ProtocoleFTP File Transfert Protocole • Service du TCP-IP • Service client – serveur • Envoie • Réception de fichiers • Plusieurs mode de transfert – Binaire (image, application, fichiers compressés, …) – Ascii (texte, programme, …) • Fonctions de – Gestion des fichiers – Gestion des répertoires • Utilisation par client FTP
  74. 74. © Jean-Antoine Moreau copying and reproduction prohibited Contact http://jeanantoine.moreau.free.fr Le REMOTELe REMOTE • Permet d’exécuter une action sur une machine distante • Les commandes de REMOTE évite l’authentification explicite • Elles n’offrent aucune sécurité – Il faut simplement que : • La machine distante connaisse – L’autre équipement – L’utilisateur et son équivalence
  75. 75. © Jean-Antoine Moreau copying and reproduction prohibited Contact http://jeanantoine.moreau.free.fr Le REMOTELe REMOTE • rlogin Remote Login • rsh execution d’une commande sur machine distante • rwho (utilisateurs connectés) • rdist (maintient à l’identique une arborescence à distance)
  76. 76. © Jean-Antoine Moreau copying and reproduction prohibited Contact http://jeanantoine.moreau.free.fr WGETWGET • Téléchargement – 1 fichier désigné par une URL – 1 arborescence complète • Aspirateur de Site • Gestion des Miroirs
  77. 77. © Jean-Antoine Moreau copying and reproduction prohibited Contact http://jeanantoine.moreau.free.fr RSYNCRSYNC • Maintenance et mise à jour à distance – De fichiers – D’arborescence • Mise à jour par différenciation
  78. 78. © Jean-Antoine Moreau copying and reproduction prohibited Contact http://jeanantoine.moreau.free.fr SSHSSH • ssh (Secure Shell) • Protocole • Service – Type client /serveur • Commande
  79. 79. © Jean-Antoine Moreau copying and reproduction prohibited Contact http://jeanantoine.moreau.free.fr SSH• Protocole SSH – Echange de données cryptées – Utilisation de clès privées | plubliques – Identification par clé RSA • Composants du ssh – sshd le serveur – ssh le client – scp la copie – ssh-keygen génération du couple clé privée | clé publique. (clé RSA)
  80. 80. © Jean-Antoine Moreau copying and reproduction prohibited Contact http://jeanantoine.moreau.free.fr RSA – Clé RSA Algorithme de cryptographie asymétrique Ronald Rivest, Adi Shamir et Leonard Adleman. Massachusetts Institute of Technology
  81. 81. © Jean-Antoine Moreau copying and reproduction prohibited Contact http://jeanantoine.moreau.free.fr SSH • Serveur ssh (configuration) – port – protocole – ciphers (version du protocole: liste des algorithmes supportés par le serveur) – allowUsers (restriction à des utilisateurs spécifiés) – denyusers (interdiction d’usage aux utilisateurs spécifiés) – allowgroup – allowgroup même principe, que pour alowuser et denyuser, pour les groupes
  82. 82. © Jean-Antoine Moreau copying and reproduction prohibited Contact http://jeanantoine.moreau.free.fr Paramètres SSHParamètres SSH • PermitRootLogin – autorise ou pas la connexion à distance de l’administrateur (le root) • Rhosts Authentification – Spécifie le mode rhosts comme mode d’autenfication des clients – sshd se comporte comme rshd – le niveau de sécurité est équivalent • RSA authentification – Spécifie le mode RSA comme mode d’authentification Rhosts • Server Key Bit – Spécifie la taille des clés publiques • DSA authentication – Sécurisation ssh poussée par l’autorisation des clés DSA • ..etc.
  83. 83. © Jean-Antoine Moreau copying and reproduction prohibited Contact http://jeanantoine.moreau.free.fr Services Réseaux RPCServices Réseaux RPC • Remote Procédure call RPC – Appel de procédure à distance, – Utilisation d’un serveur d’application – Client / Serveur – Intégré au package TCP-IP – La correspondance entre numéro de programme (référence) et l’application etc/rpc – Lien entre n° programme (référence), le port udp ou tcp se fait par le daemon portmap, ainsi le portmap local mémorise le port udf ou tcp, et le numéro de programme – rcpinfo permet de visualiser les tables du portmap
  84. 84. © Jean-Antoine Moreau copying and reproduction prohibited Contact http://jeanantoine.moreau.free.fr NFS• Network File system • Partage de fichiers à distance • Liés aux package TCP-IP • Type Client / Serveur • Daemons utilisés – Portmap • Adressage service RPC – rpc.mount • Montage nécessaire au client – rpc.nsfd • Exécution des requêtes NFS • Client NFT – mount • Montage d’un répertoire distant – Autorisation > OK • Alors – Le répertoire est vue comme un File System de type NFS – Autorisation de montage • Fichier etc/fstab
  85. 85. © Jean-Antoine Moreau copying and reproduction prohibited Contact http://jeanantoine.moreau.free.fr NFS TestsNFS Tests • Serveur RPC – rpcinfo • Client NFS d’un serveur – showmount • Les ressources exportées • Statistiques sur RPC et NFS – nfstat
  86. 86. © Jean-Antoine Moreau copying and reproduction prohibited Contact http://jeanantoine.moreau.free.fr NIS• Network Information Service • Administration centralisée – des informations sur un réseau – des bases de données de configuration • Gestion des comptes, users, group de plusieurs système UNIX ou LINUX à partir d’un seul poste • Permet la redondance et basculement du poste d’administration – Très utile pour la mise en œuvre d’un plan de secours – D’une salle informatique de backup • Client / Serveur organisé en domaines • Maps distributeurs sur les différents serveur d’un domaine NIS • Un seul serveur maître par domaine • Les serveurs esclaves contiennent uniquement la copie des données • Repose sur un bibliothèque RPC (Remote Procedure Control) • Mode sécuristé • Transactions réseaux (cryptés, authentifiés) • Identification UID (Unique Identification Number ), GID (Group Identification)
  87. 87. © Jean-Antoine Moreau copying and reproduction prohibited Contact http://jeanantoine.moreau.free.fr Configuration• Le serveur maître – Package yp-tolls, ypserv, ypbind – Définir le nom de domaine – Domaine NIS est distinct du domaine DNS • Domainname • Commande à lancer à chaque démarrage du système • Le Client – Vérification package • commande rpm • Si package absent – Alors » Yp-tools » ypbind – Définir le nom de domaine NIS • domainname • L’information est stockée suivant les distributions – Soit /etc/sysconfig/network – Soit /etc/defaultdomain – Démarrer ou arrêter le client NFS • /etc/rc.d/init.d/ypbind start • ypbind stop
  88. 88. © Jean-Antoine Moreau copying and reproduction prohibited Contact http://jeanantoine.moreau.free.fr Les MapsLes Maps • Arborescence serveur – /var/yp (racine du service NIS) • maps – /var/yp/nom-domaine – Table indexée sur une clé (nom,uid,adresse,ip, …)
  89. 89. © Jean-Antoine Moreau copying and reproduction prohibited Contact http://jeanantoine.moreau.free.fr MAPSMAPS • Création des Maps – /var/yp • Modification du fichier Makfile – cd /var/yp – vi Makefile (vi éditeur) • Mise à jour des Maps – Sur serveur esclave • Propagation des maps du serveur maître vers les serveurs esclaves ( yppush) • Le serveur esclave demande le transfert des maps du serveur maître ( ypxfr) • Automatisation – Par le cron (cron table)
  90. 90. © Jean-Antoine Moreau copying and reproduction prohibited Contact http://jeanantoine.moreau.free.fr Sécurité d’AccèsSécurité d’Accès • Définir les clients autorisés à se connecter à un serveur • /var/yp/securenets • /etc/ypserv.securenets • … – Informations • Netmask • IP • Sécurité d’accès aux maps serveur – /etc/ypserv.conf configure l’accès aux maps serveur pour ypserv et rpc.ypxfrd • Attention par défaut tous les clients sont autorisés impact direct sur la sécurité.
  91. 91. © Jean-Antoine Moreau copying and reproduction prohibited Contact http://jeanantoine.moreau.free.fr Création du Compte Utilisateur • Lors de la création d’un compte NIS – Création du compte NIS sur le serveur maître – Création du répertoire de connexion sur le serveur hôte – Ajout des services au comptes • Services locaux • Services à distribuer
  92. 92. © Jean-Antoine Moreau copying and reproduction prohibited Contact http://jeanantoine.moreau.free.fr Test du Service • Vérification de la Présence du serveur – ps –e |grep ypserv • Démarrage du client sur le serveur – /etc/rc.d/init.d/ypbind start • Visualisation de la Map – ypcat • …
  93. 93. © Jean-Antoine Moreau copying and reproduction prohibited Contact http://jeanantoine.moreau.free.fr RécapitulatifRécapitulatif • Configuration  Serveur maître • Renseigner l’hôte (serveur esclave) dans la map du serveur maître – /var/yp – vi ypsertvers (vi étant la commande d’appel de l’éditeur vi) • Pour exectuer – Makeypservers  Serveur esclave • Installation des package client et serveur • Renseigner le nom du domaine NIS d’appartenance – domainname • Création des maps du serveur esclave par copie – ypinit –s nom-serveur-maître  Vérification des maps • ls /var/yp/nom-serveur • /etc/rc.d/init.d/ypserv star (lancement)  Propagation • Mise à jour des map sur serveur esclave à partir du serveur maître – Serveur maître vers serveur esclave (envoie) » yppush – Serveur esclave a partir du serveur maître (appel) » ppxfr
  94. 94. © Jean-Antoine Moreau copying and reproduction prohibited Contact http://jeanantoine.moreau.free.fr LDAP• Open LDAP version open source de l’annuaire LDAP Lightweight Directory Access Protocol • Fonctionne en modèle client/serveur • Les clients utilisent une API – Application Programming Interface • Les services du système peuvent être gérés via le LDAP • Les outils d’administration qui supportent le protocole LDAP, peuvent être gérés via le LDAP • Format de stokage – GNU ldbm (BerkeleyDB) – BSD dbd
  95. 95. © Jean-Antoine Moreau copying and reproduction prohibited Contact http://jeanantoine.moreau.free.fr Préparation à l’installation• L’Installation peut demander, suivant les plates- formes, un compilateur, des outils, aussi la commande make • Répertoire – /etc/openldap – sldap.conf (configuration) • Script de configuration – /configure • La version de bibliothèque /lib/libdb doit être en cohérence avec la version de l’open LDAP  Tous les répertoires sont protégés (droits)
  96. 96. © Jean-Antoine Moreau copying and reproduction prohibited Contact http://jeanantoine.moreau.free.fr LDAP fichiers de configurationLDAP fichiers de configuration Serveur / ClientServeur / Client • Serveur – /etc/slapd.conf – Intègre la définition des principaux composants du répertoire LDAP – Type de base de donnée • Ldbm • Dbd – Les schémas utilisés – La définition de la racine de l’annuaire – La définition des attributs et droits de l’administrateur sur le répertoire LDAP – Les attributs de sécurité sous la forme d’ACL • Access Control List – Les modules externes à charger, nécessaires pour les fonctionnalités qui seront utilisées – La localisation de la la base de donnée – Les index • Client • /etc/ldap.conf – la localisation peut varier en fonction du processus d’installation. le fichier ldap.con peut aussi se trouver dans /usr/local/etc/openldap/ldap.conf – Possibilité d’utiliser un lien symbolique
  97. 97. © Jean-Antoine Moreau copying and reproduction prohibited Contact http://jeanantoine.moreau.free.fr Lancement du Serveur LDAPLancement du Serveur LDAP • Lancement – soit /etc/init.d/ldap strat – soit /user/local/libexec/sldap • Ajout – Modification Retrait d’OBJETs de l’annuaire LDAP – Les objets sont décrits dans une format normalisé – LDIF le LDAP data interchange format) – Les objets sont organisés sous la forme d’une arbre – Chaque objet est identifié par son DN (distinguished name) • Décrit aussi le chemin d’accès à l’objet dans l’annuaire LDAP • DN – Séquence du RND (relative distinguished names) – Le 1er élément du DN est le nom de l’objet – Identifiant d'une entrée LDAP. – C'est un chemin dans l'arborescence de l'annuaire.
  98. 98. © Jean-Antoine Moreau copying and reproduction prohibited Contact http://jeanantoine.moreau.free.fr Règles de Gestion sur les ObjetsObjets de l’AnnuaireAnnuaire • 1 Objet appartient au moins à une famille d’objets : – La CLASSE d’OBJETs • Chaque CLASSE définit un ensemble d’attributs, de propriétés, pour (qui caractérisent) les OBJETs de cette CLASSE • 3 sortes de CLASSE – CLASSE STRUCTURE • Décrit un objet réel • Chaque objet doit appartenir à une et une seule classe de ce type • Aucun attribut de cette classe ne peut être modifiés dans l’objet – CLASSE AUXILIAIRE • Attribut complémentaire de l’objet – CLASSE ABSTRAITE • Ne peut être utiliser directement • Utilisée pour créer des classes dérivées • Normalement ne peut pas hériter d’une autre classe abstraite
  99. 99. © Jean-Antoine Moreau copying and reproduction prohibited Contact http://jeanantoine.moreau.free.fr Modélisation UMLModélisation UML • Les règles de nommage du et dans LDAPLDAP • L’arborescence / l’arbre • Sont compatibles et instanciables avec les schémas et les règles de l’UMLUML
  100. 100. © Jean-Antoine Moreau copying and reproduction prohibited Contact http://jeanantoine.moreau.free.fr • Sous Microsoft Server • L’ACTIVE DIRECTORY intègre un LDAP  L’intégration totale ou partiele ou la mise à jour d’annuaire se fait part l’implémentation des règles de gestion dans les outils d’intégration  L’indexation mise à jour permet aussi la prise en compte des objets intégrés ou mis à jour
  101. 101. © Jean-Antoine Moreau copying and reproduction prohibited Contact http://jeanantoine.moreau.free.fr APPLICATIONS • Toutes les applications prévues pour utiliser un LDAP, peuvent être CLIENT de l’ANNUAIRE – Messagerie – ERP – GED – e-commerce • Market place • Auction place – etc.…
  102. 102. © Jean-Antoine Moreau copying and reproduction prohibited Contact http://jeanantoine.moreau.free.fr Commandes LDAP • Administration – sldpa • Daemon LDAP de l’annuaire local – Slurp • Daemon LDAP de l’annuaire répliqué sldap slurp fichier lecture
  103. 103. © Jean-Antoine Moreau copying and reproduction prohibited Contact http://jeanantoine.moreau.free.fr Commandes LDAPCommandes LDAP • Administration – slapcat • Sortie au format ldif (LDAP Directory Interchange Format) de l’annuaire LDAP – « Dump » de la base LDAP au format ldif – slapadd • Ajout d’objets dans l’annuaire – Utilisation de fichier au format ldif et nommage fichier.ldif – slapindex • Construction des index de l’annuaire – slappasswd • génération de mot de passe de type utilisateur qui seront modifiables avec la commande utilisateur ldapmodify – Il s’agit de l’utilisateur au sens annuaire
  104. 104. © Jean-Antoine Moreau copying and reproduction prohibited Contact http://jeanantoine.moreau.free.fr Commandes LDAPCommandes LDAP Utilisateur – ldapmodify • modification d’une entrée d’annuaire – ldapcompare – Comparaison attribut d’un objet de l’annuaire avec les valeurs fournies en argument – ldapdelete • Destruction d’un ou de plusieurs objets de l’annuaire – ldapmodrdn • Modification du RDN d’un objet de l’annaire • RDN Relative Distinguished Name – ldappasswd • Modification du champ username/password d’une objet de l’annuaire – ldapwhoami • Implémentation du whoami d’un objet de l’annauire
  105. 105. © Jean-Antoine Moreau copying and reproduction prohibited Contact http://jeanantoine.moreau.free.fr COMPTES UTILISATEURSCOMPTES UTILISATEURS • Les comptes utilisateurs sont regroupés en sous- ensemble DN de regroupement de compte – DN Compte de groupe – DN Compte de classe • Pour que les clients trouvent le LDAP, il faut aussi renseigner le – /etc/nsswitch.conf – Name Service Switch • On pourra utiliser le service PAM – Pluggable Authentification Module – Service des authentifications
  106. 106. © Jean-Antoine Moreau copying and reproduction prohibited Contact http://jeanantoine.moreau.free.fr LDAP les SchémasLDAP les Schémas • Les Schémas décrivent les attributs d’une famille d’objets • Fichiers qui apportent des informations – Filiation des Objets – Attributs obligatoires – /etc/openldap/schema/ • Attributs • Description • OID – Objet Identifier – Indentifiant unique de l’objet • Chaine du type Objet – ISO.ORG….INTERNET.PRIVATE.ENTREPRISE • Les Schémas sont définis par l ‘IANA – l’Internet Assigne Numbers Authority
  107. 107. © Jean-Antoine Moreau copying and reproduction prohibited Contact http://jeanantoine.moreau.free.fr LDAP les SchémasLDAP les Schémas • Les Objets de type object.class possède – un OID (Object Identifier) – des Règles de recherche – des attributs Entreprise Département Service fonction Personne indivisibilité La Classe Département hérite de la Classe Entreprise La Classe Service hérite de La Classe Département ….
  108. 108. © Jean-Antoine Moreau copying and reproduction prohibited Contact http://jeanantoine.moreau.free.fr LDAP les INDEXLDAP les INDEX • LDAP est une basse de données • L’utilisation des Index améliore ses performances • Commande – sldapindex • Vérification du fichier sldap.conf – qui contient entre autre la racine supérieure de l’annuaire
  109. 109. © Jean-Antoine Moreau copying and reproduction prohibited Contact http://jeanantoine.moreau.free.fr ACL ‘s LDAP • Access Control List • Permettent de définir les Autorisations d’Accès des clients aux Objets de l’Annuaire : – Lire – Écrire – Recherche Un Client ne doit pas pouvoir détruire un objet du LDAP
  110. 110. © Jean-Antoine Moreau copying and reproduction prohibited Contact http://jeanantoine.moreau.free.fr Les ACL RappelsLes ACL Rappels • Les ACL • Access Control List • Liste de control d’accès – Sont parcourus séquentiellement – La première qui convient est appliquée – On positionnera si possible en premier – Les plus restrictives – Celles qui donnent le droit d’écriture – Les plus générales – Le droit de lecture à tous » Sera positionné en dernier
  111. 111. © Jean-Antoine Moreau copying and reproduction prohibited Contact http://jeanantoine.moreau.free.fr ACL’s LDAPACL’s LDAP • Format de directive de création – acces to <entrée d’annuaire> [by <le QUI> <autorisation>] • le QUI : – Tous les utilisateurs – Seulement les utilisateurs authentifiés – Connexion anonymes • Autorisation – Écrire – Lire – Recherche – Comparaison • Déconnexion • Aucun droit Un Client ne doit pas pouvoir détruire un objet du LDAP
  112. 112. © Jean-Antoine Moreau copying and reproduction prohibited Contact http://jeanantoine.moreau.free.fr Serveurs Répliqués LDAPServeurs Répliqués LDAP (préparation au mode secours)(préparation au mode secours) • Possibilité de faire des serveurs • Répliqué • Secondaire – Avec copie de l’annuaire du serveur principal – Principe aussi utilisé dans l’Active Directory de MicroSoft • Lorsque des clients adressent des requêtes • Consultation indifféremment du – Serveur maître – Serveur secondaire • Configuration serveur Maître – sladp.conf – daemon slurp – exploiration slapcat
  113. 113. © Jean-Antoine Moreau copying and reproduction prohibited Contact http://jeanantoine.moreau.free.fr Serveurs Répliqués LDAPServeurs Répliqués LDAP (préparation au mode secours)(préparation au mode secours) • Serveur Secondaire – Configuration • fichier sldap.conf • import de l’annuaire • Démarrage des Daemons – Serveur secondaire • sldap – Serveur Principal • sldap • slurpd
  114. 114. © Jean-Antoine Moreau copying and reproduction prohibited Contact http://jeanantoine.moreau.free.fr Partage de fichiers LINUX / WindowsPartage de fichiers LINUX / Windows SAMBA avec le LDAPSAMBA avec le LDAP • SAMBA – Logiciel permettant de partager des ressources LINUX avec des postes sous windows • Installation – Répertoire /usr/local/samba/ – Droits d’accès au répertoire • Configuration – Fichier de configuration SAMBA • /usr/local/samba/lib/smb.conf – Rubrique des informations nécessaires pour le lien linux samba (compte, serveur, …, et les paramètres • Création du password pour le compte SAMBA – (en natif smbadmin )
  115. 115. © Jean-Antoine Moreau copying and reproduction prohibited Contact http://jeanantoine.moreau.free.fr DHCPDHCP • Dynamic Host Configuration Protocol • DHCP – Client / Serveur – Protocole – Package TCP / IP • Le Client du serveur DHCP – Obtient des informations de configuration du serveur DHCP – Adresse IP – Informations d’appartenance à un réseau ou sous-réseau – …
  116. 116. © Jean-Antoine Moreau copying and reproduction prohibited Contact http://jeanantoine.moreau.free.fr DHCPDHCP • Principe de fonctionnement : Lors du déroulement de sa procédure de démarrage, le PC client ou la station de travail cliente, ou la machine servie, émet un message diffusé de demande d’adresse IP DHCP DISCOVER Le client choisit le 1er serveur qui lui répond, toujours avec un message de diffusion DHCP REQUEST • Ainsi les autres serveurs savent qu’ils n’ont pas été choisi. Le serveur retenu répond par un message diffusé DHCP ASK • A ce moment là, le PC client n’a pas encore son adresse
  117. 117. © Jean-Antoine Moreau copying and reproduction prohibited Contact http://jeanantoine.moreau.free.fr PROCESSUS d’ALLOCATIONPROCESSUS d’ALLOCATION d’ADRESSEd’ADRESSE • Allocation manuelle – L’administrateur alloue une adresse IP à une adresse MAC • Media Access Control : Identifiant physique de la carte réseau • Allocation automatique – Le serveur fournit l’adresse à partir d’un ensemble d’adresses réservés à cet effet • Allocation dynamique – Le serveur fournit l’adresse à partir d’un ensemble d’adresses réservées à cet effet, mais la possession de l’adresse est limitée dans le temps: il y a un bailbail avec une durée
  118. 118. © Jean-Antoine Moreau copying and reproduction prohibited Contact http://jeanantoine.moreau.free.fr Informations DHCPInformations DHCP • Le DHCP prend en compte – Le netmask (masque réseau) – Les tables de routage – La configuration DNS – Adresse serveur Wins • Si utilisation du NetBIOS • Wins – Windows Internet Name Service mappe dynamiquement les adresses IP aux noms d'ordinateurs – Le système d’exploitation • Serveur • Client
  119. 119. © Jean-Antoine Moreau copying and reproduction prohibited Contact http://jeanantoine.moreau.free.fr Informations DHCPInformations DHCP • Le DHCP prend en compte • Les sites avec plusieurs DHCP – Spécialisation des DHCP en fonction de l’architecture • tient compte des aspects fonctionnelles pour une meilleure urbanisation – Cas du multi-sites avec centralisation des adresses • Les DHCP de Secours • Intégration des adresses fixes périphériques utilisés par des services partagés. – Imprimantes – Scanner – Fax – Unités de sauvegarde – Centralisation des sauvegardes – Externalisation des sauvegardes
  120. 120. © Jean-Antoine Moreau copying and reproduction prohibited Contact http://jeanantoine.moreau.free.fr CONFIGURATION DHCPCONFIGURATION DHCP • Package dhcp • deamon dhcp suivant les version • Fichier de configuration – dhcpd.conf • Les baux se trouvent dans – dhcpd.leases • Qui gére l’inscription des clients
  121. 121. © Jean-Antoine Moreau copying and reproduction prohibited Contact http://jeanantoine.moreau.free.fr APACHEAPACHE • Serveur Web • Logiciel libre, licence GNU • Fourni en standard avec LINUX • Client Web – Internet Explorer – Firefox – … • Page Web contient – Texte – Image – Son – Vidéo • Communication entre Client et Serveur Multi Média
  122. 122. © Jean-Antoine Moreau copying and reproduction prohibited Contact http://jeanantoine.moreau.free.fr CommunicationCommunication Client – Serveur ApacheClient – Serveur Apache • Communication entre Client (IE, Firefox, …) se fait par le protocole HTTP (Hyper Text Transfert Protocol) • Le Protocole HTTP appartient au package TCP-IP • Le format des fichiers échangés • texte, html, image, – Protocole MIME (Multipurpose Internet Mail Extensions) aussi utilisé.
  123. 123. © Jean-Antoine Moreau copying and reproduction prohibited Contact http://jeanantoine.moreau.free.fr Démarrage & Arrêt Serveur ApacheDémarrage & Arrêt Serveur Apache • Script – /etc/rc.d/rc3.d/S85httpd • Manuel – /etc/rc.d/init.d – ./httpd/start – ./httpd/stop
  124. 124. © Jean-Antoine Moreau copying and reproduction prohibited Contact http://jeanantoine.moreau.free.fr Arborescence du ServeurArborescence du Serveur Apache configuration données Conf Fichier de configuration log Module bibliothèque html Page web Script GCI icons Pour un site Web statique,on peut utiliser la configuration par défaut
  125. 125. © Jean-Antoine Moreau copying and reproduction prohibited Contact http://jeanantoine.moreau.free.fr Configuration du Serveur ApacheConfiguration du Serveur Apache • Fichier de configuration – conf/http.conf • Paramètre / signification – server-type standalone, Inetd – serverName nom réseau du serveur – serverAdmin adresse e-mail que le serveur inclut dans tout message d'erreur retourné au client. – serverRoot répertoire racine d’administration du serveur où se trouve conf et logs – user le propriétaire des processus http – group le group propriétaire des processus httpd
  126. 126. © Jean-Antoine Moreau copying and reproduction prohibited Contact http://jeanantoine.moreau.free.fr Configuration du Serveur ApacheConfiguration du Serveur Apache • listen – Cette directive ou instruction définit le couple hôte:port – Elle permet au serveur Apache de répondre à des requêtes adressé à plusieurs noms de machines, donc à plusieurs adresse IP sur des ports particuliers – Important lors de l’usage de plusieurs serveurs virtuels: virtuals host • AccesConfig – Fichier contenant les directives ou instruction sur la sécurité d’accès conf/acces.cnf • DocumentRoot – Répertoire contenant les pages web • ScriptAlias – Spécifie l’emplacement des scripts CGI • TypeConfig – Spécifie le nom des fichiers contenant des type MIME et extension • DefautType – Indique le type par defaut • DirectoryIndex – Spécifie le nom des fichiers d’index du répertoire pas défaut : index.html ou index.htm
  127. 127. © Jean-Antoine Moreau copying and reproduction prohibited Contact http://jeanantoine.moreau.free.fr VIRTUAL HOSTVIRTUAL HOST Gestion de plusieurs sites web sur et par un même serveur physique Un même serveur Apache à la capacité de gérer plusieurs sites web Pour le serveur, il s’agit d’un site virtuel Chaque site possède sa propre configuration – En plus de la configuration globale du serveur
  128. 128. © Jean-Antoine Moreau copying and reproduction prohibited Contact http://jeanantoine.moreau.free.fr Les Sites VirtuelsLes Sites Virtuels • Les sites virtuels sont distingués par le couple adresse IP / port • On pourra aussi les distingués par leur nom, en utilisant le service DNS • DNS – Domain Name Service – Permet l’association Nom de Serveur et adresse IP du Serveur hébergeant le Serveur Apache. • Possibilité d’avoir des Sites distingués par : • Leur adresse IP – Ou • Leur Nom
  129. 129. © Jean-Antoine Moreau copying and reproduction prohibited Contact http://jeanantoine.moreau.free.fr ConfigurationConfiguration • Configuration native – Page HTML – Site Statique • Configuration (Common Gateway Interface) – Pages Dynamiques • Application activée lors de l’appel d’une page – Indication de l’emplacement des CGI sur le serveur – Chemin URL / CGI – Prise en compte des chemins relatifs dans les requêtes web – Tuning applicatif et virtual host pour amélioration des performances • Configuration pour page PHP – Utilisation du page et script écrit en PHP – Site PHP avec ou sans requête sur SGBD – Les scripts et pages PHP sont interprétés sur le serveur et non par le navigateur – Installation et configuration du module PHP – Tuning
  130. 130. © Jean-Antoine Moreau copying and reproduction prohibited Contact http://jeanantoine.moreau.free.fr ConfigurationConfiguration • Configuration pour site ASP – ASP Active Server Page – Les pages s’executent sur le serveur – Technologie Propriétaire Microsoft – Portabilité sur LINUX en fonction des versions LINUX et ASP.NET, de la version IIS (logiciel serveur des services Web) • Configuration pour site PROXY – Apache ou l’un des sites virtuel (virtual host) peut ou peuvent jouer le rôle de PROXY – Alors il sert d’intermédiaire pour accèder aux autres sites ou à des sites distants. – Un PROXY ainsi installé sur un part feu pourra autoriser l’accès aux sites distants – Le PROXY peut aussi être utiliser comme < cache > pour améliorer les performances d’accès aux pages.
  131. 131. © Jean-Antoine Moreau copying and reproduction prohibited Contact http://jeanantoine.moreau.free.fr Apache – Performance - TuningApache – Performance - Tuning • Paramètres – MaxClients • Nombre maximum de clients simultanées – MaxRequestPerChild • Nombre maximum de requête traitées par un processus fils – StartServers • Nombre de processus httpd fils, lancés au démarrage – MaxSpareServers • Nombre maximum de serveurs inoccupés conservés – MinSpareServers • Nombre minimum de serveurs inoccupés que l’on conservés
  132. 132. © Jean-Antoine Moreau copying and reproduction prohibited Contact http://jeanantoine.moreau.free.fr Apache Sécurité deApache Sécurité de l’Arborescencel’Arborescence • Il est possible de gérer, d’ouvrir ou de restreindre, l’accès à un site – Pour une nombre définit d’utilisateur • La directive Directory – Fichier de configuration • Options – Indexes • Autorise l’utilisateur à visualiser le contenu de tout le répertoire si le fichier index.html ou index.htm est absent – ATTENTION: dans ce cas tout le monde pourra voir le contenu et la structure du site – FollowSymlinks • Autorise le client à suivre les liens symboliques
  133. 133. © Jean-Antoine Moreau copying and reproduction prohibited Contact http://jeanantoine.moreau.free.fr Apache Sécurité deApache Sécurité de l’Arborescencel’Arborescence • Options (suite) – AccessFileName • Nom du fichier de configuration de la sécurité d’accès • Par défaut < .htacces> • Chaque répertoire peut contenir un fichier de ce type • Ce fichier est utilisé pour le référencement • AllowOverride – Indique au serveur les options invalidables par un fichier .htaccess • AuthType – Protocole d’Identification d’un utilisateur • AuthGroupFile – Spécifie le nom du fichier qui contient la définition du groupe d’utilisateur • AuthUserFile – Spécifie le nom (login) et le mot de passe (password) utilisateur • Require – Spécification d’un site de contrôle d’accès
  134. 134. © Jean-Antoine Moreau copying and reproduction prohibited Contact http://jeanantoine.moreau.free.fr APACHE les ModulesAPACHE les Modules • APACHE est modulaire • L’ajout de module se fait par : – API – Recompilation
  135. 135. © Jean-Antoine Moreau copying and reproduction prohibited Contact http://jeanantoine.moreau.free.fr Tests - ExploitationTests - Exploitation • Présence des Processus APACHE – instruction ou directive ps • Port actif – netstat • Accès à la page d’accueil – Navigateur • Log – /var/log/httpd/acces_log – /var/log/httpd/error_log • Etat du Serveur – http://serveur/server-status
  136. 136. © Jean-Antoine Moreau copying and reproduction prohibited Contact http://jeanantoine.moreau.free.fr Serveur DNSServeur DNS DNS Domain Name Server • Permet à un hôte connaissant le nom d’un autre hôte, d’obtenir son adresse IP en s’adressant au serveur DNS
  137. 137. © Jean-Antoine Moreau copying and reproduction prohibited Contact http://jeanantoine.moreau.free.fr Serveur DNSServeur DNS • Daemon: named • Configurations – Caching-only : • Le serveur n’est pas autorisé à répondre à une requête • Il peut transférer la requête a un autre serveur • Le serveur mémorise le résultat des requêtes, qu’il peut utiliser – Primary-master : • Les serveurs DNS maître Principal est la source des Informations associées à un domaine DNS. • Il a autorité pour répondre à une requête – Secondary-master : • Le serveur maître secondaire contient une copie des informations mises à jour au niveau du serveur maître principal • Il autorité pour répondre à une requête
  138. 138. © Jean-Antoine Moreau copying and reproduction prohibited Contact http://jeanantoine.moreau.free.fr ConfigurationConfiguration • Le Démon named utilise : • named.conf – Les fonctions et les noms de fichiers de configuration • named.ca • Adresse IP des serveurs du domaine <root> – named.local • résolution de l’adresse de boucle local <local host> – named.hosts • Fichier de <zone file> contient les noms DNS et les adresses IP des hôtes du domaine – named.rev • fichier de <zone fichier> contient les données inversés – nom de machine > adresse IP
  139. 139. © Jean-Antoine Moreau copying and reproduction prohibited Contact http://jeanantoine.moreau.free.fr Les Serveurs DNSLes Serveurs DNS • Serveur DNS Principal – Contient tous les fichiers • Serveur DNS secondaire – Contient au minimum • named.root • named.local • /etc/name.conf • Serveur DNS de Secours – Principe serveur DNS redondant principal
  140. 140. © Jean-Antoine Moreau copying and reproduction prohibited Contact http://jeanantoine.moreau.free.fr Format des Ressources DNSFormat des Ressources DNS Format d’enregistrement ressources DNS – Fichiers • named.ca • named.rev – Structures des ressources DNS • [nom] [durée-de-vie] classe type donnée Nom : objet DNS Durée de vie : en seconde dans la mémoire cache Classe : réseau de transport utilisée la classe IN – Internet pour le TCP-IP Type: type d’enregistrement SOA : strate off Authority NS : Name server A : Adress PTR : pointer MX : Mail eXhange Identifieur du serveur de messagerie CNAME : canonical name – alias machine HINFO : Host Info Architecture Matérielle, system Host WKS : Well Know Services Services Disponibles
  141. 141. © Jean-Antoine Moreau copying and reproduction prohibited Contact http://jeanantoine.moreau.free.fr SOA • Type d’enregistrement – Syntaxe exemple • $TTL 1D @ IN SOA debian root.testdev.local. ( 2 ; Serial 604800 ; Refresh 86400 ; Retry 2419200 ; Expire 604800 ) ; Negative Cache TTL – Syntaxe composition • @ ttl IN SOA non serveur principal –e-mail administrateur • (numero de serie • Rafraichissement en seconde • Relance sur essai • Durée de vie des données en seconde) • Commande de mise au point pour serveur DNS – nslookup avec ses options et directives
  142. 142. © Jean-Antoine Moreau copying and reproduction prohibited Contact http://jeanantoine.moreau.free.fr La suite n’est pas publiée sur Internet

×