Contenu connexe Similaire à Linux sécurité informatique cours Jean-Antoine Moreau (20) Plus de Jean-Antoine Moreau (20) Linux sécurité informatique cours Jean-Antoine Moreau3. © Jean-Antoine
Moreau
copying and
reproduction
prohibited
Contact http://jeanantoine.moreau.free.fr
Le partage ou la mise en commun sur service, avec des
droits et une Méthode, définis et formalisés:
des données
des applications
des services
• des ressources
• de serveurs dédiés
En local
Sur site(s) distant(s)
Se fait par le(s) réseau(x)
Les équipements communiquent à l’aide d’un langage:
Un même vocabulaire
Une même grammaire
Un même PROTOCOLE
5. © Jean-Antoine
Moreau
copying and
reproduction
prohibited
Contact http://jeanantoine.moreau.free.fr
• IP v4
• IP v6
• Amélioration de
• La performance
• La sécurité
• Pas totalement ascendant compatible avec IP v4, d’autant par
ses ajouts fonctionnels
• Compatibilité de fait par les protocoles et services
• TCP (Transmission control protocol)
• UDP (User Datagram Protocol)
• ICMP (Internet Control Message Protocol)
• IGMP (Internet Group Management Protocol)
• DNS (Domain Name System)
8. © Jean-Antoine
Moreau
copying and
reproduction
prohibited
Contact http://jeanantoine.moreau.free.fr
COUCHES RESEAUXCOUCHES RESEAUX
• Physique
– Carte Ethernet
– Câble
– Contrôleur (hardware)
– …
• Couche Basse
– Pilote
– Logiciel équipement
– …
• Couche réseau
– Couche IP
• ICMP (Internet Control Message Protocol)
• ARP (Address resolution protocol)
• …
• Couche Transport
• UDP (User Datagram Protocol)
• TCP (Transmission Control Protocol)
• …
9. © Jean-Antoine
Moreau
copying and
reproduction
prohibited
Contact http://jeanantoine.moreau.free.fr
SECURITE -StratégieSECURITE -Stratégie
• Avant une tentative d’intrusion:
Le(s) Pirate s’informe sur
• Le système
• L’organisation
• Les modes et méthode d’utilisation
• Les utilisateurs
– Il cherche la faille
• Organisationnelle
• Humaine
• Technique
• Technologique
– Il analyse et réfléchit
10. © Jean-Antoine
Moreau
copying and
reproduction
prohibited
Contact http://jeanantoine.moreau.free.fr
DEFAUTS DU TCP-IPDEFAUTS DU TCP-IP
• La norme
• La documentation sont ouvertes et diffusées
• Les évolutions
• Possibilités de lien entre réseaux hétérogènes
• Localisation par l’adresse IP
• Si IP v6 est plus sécurisé, les outils de gestion peuvent baissés le niveau de sécurité
• Risque sur :
– FTP
– telnet
– http
• Sécurisation
– ssh
– https
– ips
11. © Jean-Antoine
Moreau
copying and
reproduction
prohibited
Contact http://jeanantoine.moreau.free.fr
OUTILS DU PIRATEOUTILS DU PIRATE
• Les outils de l’ingénierie réseau
– Il peut même utiliser (piloter) les votres à distance
• Les fonctions utilisées pour l’espionnage
• Scann
• Reniflage
• Analyse réseau
• Capture de trafic
• Information sur les connexions
– Physique
– Logique
» Dont SGBDR et données
partagées sur le cloud
• Routage et route de l’information
– Physique
– Logique
• Trace
– Trace laissée par l’information (différent du routage)
Toute fragmentation sur une route
de l’information est un risque de
faille de sécurité
14. © Jean-Antoine
Moreau
copying and
reproduction
prohibited
Contact http://jeanantoine.moreau.free.fr
Le Cheval de Troie ou leLe Cheval de Troie ou le
PROCESSUSPROCESSUS
La ville de Troie est assiégée par les armées grecques réunies. Elle est
imprenable par les tactiques habituelles.
I. Ulysse, roi grec d'Ithaque, fait construire un cheval de bois.
II. Il se cache avec ses compagnons dans le cheval.
III. Le cheval est rendu visible à la ville de Troie.
IV. Les troyens transportent le cheval dans Troie (dans leur citée, chez eux)
V. La nuit venue :
1. Ulysse et ses compagnons sortent du cheval
2. Ouvrent les portes de la ville de Troie
3. Les armées grecs envahissent la ville de Troie
15. © Jean-Antoine
Moreau
copying and
reproduction
prohibited
Contact http://jeanantoine.moreau.free.fr
Le Cheval de Troie ou leLe Cheval de Troie ou le
PROCESSUSPROCESSUS
La ville de Troie est assiégée par les armées grecques réunies. Elle est imprenable par les
tactiques habituelles.
I. Ulysse, roi grec d'Ithaque, fait construire un cheval de bois.
II. Il se cache avec ses compagnons dans le cheval.
III. Le cheval est rendu visible à la ville de Troie.
IV. Les troyens transportent le cheval dans Troie.
V. La nuit venue :
1. Ulysse et ses compagnons sortent du cheval
2. Ouvrent les portes de la ville de Troie
3. Les armées grecs envahissent la ville de Troie
Aujourd’hui c’est ce processus qui est le plus souvent utilisé.
La porte est ouverte de/par l’interne, elle est rarement forcée
16. © Jean-Antoine
Moreau
copying and
reproduction
prohibited
Contact http://jeanantoine.moreau.free.fr
Le Cheval de Troie ou leLe Cheval de Troie ou le
PROCESSUSPROCESSUS
Aujourd’hui c’est ce processus qui est le plus souvent utilisé.
La porte est ouverte par l’interne, elle est rarement forcée
Deux cas :
Le pirate veut :
réaliser et gagner un défi
ou bien
voler ou détruire
Dans les deux cas
le pirate veut une
valorisation directe
ou par tiers
17. © Jean-Antoine
Moreau
copying and
reproduction
prohibited
Contact http://jeanantoine.moreau.free.fr
Travail de Préparation etTravail de Préparation et
d’Installation du Pirated’Installation du Pirate
• Il lance l’installation en votre absence
• Il vous l’a fait lancer en tâche de fond (vous l’aidez sans
le savoir)
• Lorsque vous tapez sur une séquence de touche
– PC
– Téléphone fixe
– Téléphone portable
• Lors de l’appel d’une application
• Lors de l’installation
– d’une application
– d’une mise à jour
– d’un patch
– d’une macro
18. © Jean-Antoine
Moreau
copying and
reproduction
prohibited
Contact http://jeanantoine.moreau.free.fr
VIRUS & MACROVIRUS & MACRO
• Virus
– Petit exécutable dont le but est de perturber le fonctionnement :
• D’une application
• D’un système
• D’un réseau
• D’une partie d’équipement
Ou de vous prendre des informations
• Macros
– Petit programme qui permet d’automatiser des taches ou de créer
des fonctions nouvelles
• Exemple macro pour tableur
– Aucune macro ne peut être sécurisée à 100%
– La compatibilité ascendante de certaines macro peut altérer la
sécurité applicative
– Couches (transport à application)
19. © Jean-Antoine
Moreau
copying and
reproduction
prohibited
Contact http://jeanantoine.moreau.free.fr
SpywareSpyware
• Logiciel espion
– Fonctionne comme un cheval de Troie
– Peut envoyer le contenu
• de vos disques
• de mail en en temps réel ou différé
• de sms ou mms
• de vos conversations téléphoniques
• de votre agenda
• de vos contacts avec leur téléphone et adresse postale et mail
• La configuration de vos serveurs
– Réseau
– Ports
– Fonctionne sur
• Serveur
• PC
• Téléphone portable
– (tous systèmes d’exploitation)
• Téléphone fixe (via internet) ToIP
20. © Jean-Antoine
Moreau
copying and
reproduction
prohibited
Contact http://jeanantoine.moreau.free.fr
ExempleExemple
I. Une entreprise ou organisation a activités stratégiques.
II. Un responsable reçoit un mms avec photo ou
attachement (publicité ou autres).
III. Il ouvre l’attachement, et hop le spyware nouvelle
génération s’installe.
IV. Il enverra périodiquement où lorsqu’une séquence de
touche sera involontairement tapée, le contenu de(s)
conversations téléphonique(s), sms, mail, de votre
agenda, de vos contacts, de votre carnet d’adresse.
V. Plus subtile, le spyware le(s) fait envoyer directement à
une adresse définie, a une heure définie, ou lors du
démarrage ou de l’arrêt de votre PC. Pour votre
téléphone portable, le déclenchement peut se faire à
chaque sms ou à chaque appel reçu ou émis.
21. © Jean-Antoine
Moreau
copying and
reproduction
prohibited
Contact http://jeanantoine.moreau.free.fr
Risques - ConséquencesRisques - Conséquences
• Votre concurrent peut être informé en temps réel
– du contenu de négociation
– de l’état d’esprit du négociateur
• Les informations sont envoyées aux frais du
piraté, de l’espionné.
Un contrôle des consommations régulier
22. © Jean-Antoine
Moreau
copying and
reproduction
prohibited
Contact http://jeanantoine.moreau.free.fr
• Pour éviter d’être impacter, il est souhaitable:
– de se dissimuler
– de tromper
– d’utiliser et de mettre à disposition une cible dédiée
– de mettre en place
• des leurres
• des contres-mesures
– Cas de marchés ou projets stratégiques
de savoir pirater le spyware pour le retourner contre son
pilote et son auteur.
23. © Jean-Antoine
Moreau
copying and
reproduction
prohibited
Contact http://jeanantoine.moreau.free.fr
Camouflages utilisés par le pirate informatiqueCamouflages utilisés par le pirate informatique
• L’adresse ip
• Le routage
• Point d’accès WiFi
• Point d’accès réseau par accès distant
• Exécution de programme sur machine distante
• Furtivité
– Proxy
• Enchainement
• Cascade
• Parallelisme
• Utilisation de logiciels et outils de maintenance natifs sur les équipements
• Pc
• Téléphonie
• Serveur
• Réseau
– Couche basse
– IP
24. © Jean-Antoine
Moreau
copying and
reproduction
prohibited
Contact http://jeanantoine.moreau.free.fr
Camouflages simples pour vousCamouflages simples pour vous
• Brouiller les pistes
– Faire croire que:
• Vous n’êtes pas vous ou pas là
• Vous n’êtes plus là
• Vous avez une seconde identitée (virtuelle)
• Diriger le pirate :
– Dans une forêt où il se perdra
• Le faire rebondir d’un arbre à l’autre, en lui faisant croire qu’il
avance (routage factice, adresse IP démultipliée virtuellement).
• Rediriger le chez lui
25. © Jean-Antoine
Moreau
copying and
reproduction
prohibited
Contact http://jeanantoine.moreau.free.fr
Notion de PROXY - MULTI PROXYNotion de PROXY - MULTI PROXY
• Proxy :
– Tempon entre PC /réseau | Internet
– Permet de
• consulter sur internet
• de stoker les pages
– Vu d’Internet c’est le proxy qui
consulte
• Multi Proxy
– Utilise simultanément plusieurs
adresses
• Proxy furtif
Internet PROXY
26. © Jean-Antoine
Moreau
copying and
reproduction
prohibited
Contact http://jeanantoine.moreau.free.fr
Types de PROXYTypes de PROXY
• Proxy :
– Tempon entre PC /réseau | Internet
– Permet de
• consulter sur internet
• de stoker les pages
– Vu d’Internet c’est le proxy qui consulte
• Multi Proxy
– Utilise simultanément plusieurs adresses pour
• Acces
• Recherche
• Consultation
• Téléchargement
• Proxy furtif
– Anonymat complet
28. © Jean-Antoine
Moreau
copying and
reproduction
prohibited
Contact http://jeanantoine.moreau.free.fr
WiFiWiFi
• La Sécurité est discutable
• Un seul équipement peu sécurisé intégré à un
réseau sécurisé, en pénalise l’efficience !
• Le cryptage est crackable
• Le firmware de routeur WiFi grand public est
crackable, les mots de passe se trouvent sur
internet, ainsi que les méthodes de re-
configuration.
30. Contact http://jeanantoine.moreau.free.fr
Package TCP-IP V4 &V6
Services réseaux
Réseaux, Sous-Réseaux, Classes d’adresses
Proxy, SSH, Remote, RPC, RSA, NFS, NIS,
LDAP (classe et objets, héritage, modélisation UML)
DCHP serveur, clé RSA, ACL, ftp, rsyns, …..
Apache serveur Web (virtual host, tuning, sécurité)
Serveurs DNS primaire, secondaire,secours
Sécurité d’accès, gestion groupes et utilisateurs
Utilisation en Architecture de Secours
© Jean-Antoine Moreau
Reproductions et Copies interdites
Droits d’auteur gérés par l’ ADAGP www.adagp.fr
32. © Jean-Antoine
Moreau
copying and
reproduction
prohibited
Contact http://jeanantoine.moreau.free.fr
Le partage ou la mise en commun sur service:
des données
des applications
des services
• des ressources
• de serveurs dédiés
En local
Sur site(s) distant(s)
Se fait par le(s) réseau(x)
Les équipements communiquent à l’aide d’un langage:
Un même vocabulaire
Une même grammaire
Un même PROTOCOLE
RESEAU
34. © Jean-Antoine
Moreau
copying and
reproduction
prohibited
Contact http://jeanantoine.moreau.free.fr
• IP v4
• IP v6
• Amélioration de
• La performance
• La sécurité
• Pas totalement ascendant compatible avec IP v4, d’autant
par ses ajouts fonctionnels
• Compatibilité de fait par les protocoles et services
• TCP (Transmission control protocol)
• UDP (User Datagram Protocol)
• ICMP (Internet Control Message Protocol)
• IGMP (Internet Group Management Protocol)
• DNS (Domain Name System)
37. © Jean-Antoine
Moreau
copying and
reproduction
prohibited
Contact http://jeanantoine.moreau.free.fr
COUCHES RESEAUXCOUCHES RESEAUX
• Physique
– Carte Ethernet
– Câble
– Contrôleur (hardware)
– …
• Couche Basse
– Pilote
– Logiciel équipement
– …
• Couche réseau
– Couche IP
• ICMP (Internet Control Message Protocol)
• ARP (Address resolution protocol)
• …
• Couche Transport
• UDP (User Datagram Protocol)
• TCP (Transmission Control Protocol)
• …
38. © Jean-Antoine
Moreau
copying and
reproduction
prohibited
Contact http://jeanantoine.moreau.free.fr
SECURITESECURITE – Stratégie - Rappel
• Avant une tentative d’intrusion:
Le(s) Pirate s’informe sur
• Le système
• L’organisation
• Les modes et méthode d’utilisation
• Les utilisateurs
– Il cherche la faille
• Organisationnelle
• Humaine
• Technique
• Technologique
– Il analyseanalyse et réfléchitréfléchit
39. © Jean-Antoine
Moreau
copying and
reproduction
prohibited
Contact http://jeanantoine.moreau.free.fr
RISQUES DU TCP-IPRISQUES DU TCP-IP
• La norme
• La documentation
• Les évolutions sont ouverts et diffusés pratiquement gratuitement
• Les distributions
• Les sources
• Possibilités de lien entre réseaux hétérogènes
• Localisation par l’adresse IP
• Si IP v6 est plus sécurisé, les outils de gestion non à jour peuvent baisser le niveaubaisser le niveau
de sécuritéde sécurité
• Risque sur :
– FTP
– telnet
– http
• Sécurisation
– ssh
– https
– ips
40. © Jean-Antoine
Moreau
copying and
reproduction
prohibited
Contact http://jeanantoine.moreau.free.fr
OUTILS DU PIRATEOUTILS DU PIRATE
• Les outils de l’ingénierie réseau
– Il peut même utiliser (piloter) les votres à distance
• Les fonctions utilisées pour l’espionnage
• Scann
• Reniflage
• Analyse réseau
• Capture de trafic
• Information sur les connexions
– Physique
– Logique
» Dont SGBDR et données sur le cloud
• Routage et route de l’information
– Physique
– Logique
• Trace
– Trace laissée par l’information (différent du routage)
Toute fragmentation sur une route
de l’information est un risque de
faille de sécurité
41. © Jean-Antoine
Moreau
copying and
reproduction
prohibited
Contact http://jeanantoine.moreau.free.fr
OUTILS DU PIRATEOUTILS DU PIRATE
• La base
– ping
– tracert (trace route)
– whois
• Les chevaux de Troie
• Les spywares
– Plus élaborer que les chevaux de Troie
• Les virus
– Plus spécialisés que les spywares
• Les informations de vos sondes de sécurité (surveillance)
• Les informations que vous lui donnez en répondant à des
questionnaires, dont vous ne connaissez pas l’émetteur
42. © Jean-Antoine
Moreau
copying and
reproduction
prohibited
Contact http://jeanantoine.moreau.free.fr
Le Cheval de Troie ou leLe Cheval de Troie ou le
PROCESSUSPROCESSUS
La ville de Troie est assiégée par les armées grecques réunies. Elle est
imprenable par les tactiques habituelles.
I. Ulysse, roi grec d'Ithaque, fait construire un cheval de bois.
II. Il se cache avec ses compagnons dans le cheval.
III. Le cheval est rendu visible à la ville de Troie.
IV. Les troyens transportent le cheval dans Troie (dans leur citée, chez eux)
V. La nuit venue :
1. Ulysse et ses compagnons sortent du cheval (Ils sont dans la ville)
2. Ouvrent les portes de la ville de Troie
3. Les armées grecs envahissent la ville de Troie
Ulyse a utilisé un des principes de SunTzu dans l’art de la guerre
43. © Jean-Antoine
Moreau
copying and
reproduction
prohibited
Contact http://jeanantoine.moreau.free.fr
Le Cheval de Troie ou leLe Cheval de Troie ou le
PROCESSUSPROCESSUS
La ville de Troie est assiégée par les armées grecques réunies. Elle est imprenable par les
tactiques habituelles.
I. Ulysse, roi grec d'Ithaque, fait construire un cheval de bois.
II. Il se cache avec ses compagnons dans le cheval.
III. Le cheval est rendu visible à la ville de Troie.
IV. Les troyens transportent le cheval dans Troie.
V. La nuit venue :
1. Ulysse et ses compagnons sortent du cheval
2. Ouvrent les portes de la ville de Troie
3. Les armées grecs envahissent la ville de Troie
Ulyse a utilisé un des principes de SunTzu dans l’Art de la Guerre
Aujourd’hui c’est ce processus qui est le plus souvent utilisé.
La porte est ouverte par l’interne, elle est rarement forcée.
44. © Jean-Antoine
Moreau
copying and
reproduction
prohibited
Contact http://jeanantoine.moreau.free.fr
Le Cheval de Troie ou leLe Cheval de Troie ou le
PROCESSUSPROCESSUS
Aujourd’hui c’est ce processus qui est le plus souvent utilisé.
La porte est ouverte par l’interne, elle est rarement forcée
Deux cas :
Le pirate veut :
réaliser et gagner un défi
ou bien
voler ou détruire ou perturber
Dans les deux cas
le pirate veut une
valorisation directe
ou par un tiers
Guerre Concurrentielle
45. © Jean-Antoine
Moreau
copying and
reproduction
prohibited
Contact http://jeanantoine.moreau.free.fr
IMPACTIMPACT
La connaissance puis la maîtrise de l’information tierce est
une arme économique
Ce qui implique de nouvelles responsabilités aux postes et fonctions de :
Responsable Réseaux et Télécoms
Responsable d’Architecture (fonctionnelles ou technique)
Responsable de Production Informatique
Des Responsabilités sur la Stratégie de Sécurité de l’Information
46. © Jean-Antoine
Moreau
copying and
reproduction
prohibited
Contact http://jeanantoine.moreau.free.fr
Travail de Préparation etTravail de Préparation et
d’Installation du Pirated’Installation du Pirate
• Il prépare sa configuration d’installation en votre absence
• Il vous a fait lancer l’installation en tâche de fond (vous l’aidez
sans le savoir, vous faites une partie de son travail), votre PC est
devenu lent…
• Lorsque vous tapez sur une séquence de touche
– PC
– Téléphone fixe
– Téléphone portable
• Lors de l’appel d’une application
• Lors de l’installation
– d’une application
– d’une mise à jour
– d’un patch
– d’une macro
47. © Jean-Antoine
Moreau
copying and
reproduction
prohibited
Contact http://jeanantoine.moreau.free.fr
VIRUS & MACROVIRUS & MACRO
• Virus
– Petit exécutable dont le but est de perturber le fonctionnement
• D’une application
• D’un système
• D’un réseau
• D’une partie d’équipement
• Macros
– Petit programme qui permet d’automatiser des taches ou de
créer des fonctions nouvelles
• Exemple macro pour tableur ou traitement de texte
– Aucune macro ne peut être sécurisé à 100%
– La compatibilité ascendante de certaines macros peut altérer
la sécurité applicative (fichiers partagés, Client de Messagerie)
– Couches (transport à application)
48. © Jean-Antoine
Moreau
copying and
reproduction
prohibited
Contact http://jeanantoine.moreau.free.fr
SpywareSpyware
• Logiciel espion
– Fonctionne comme un cheval de Troie
– Peut envoyer le contenu
• de vos disques
• de mail en en temps réel ou différé
• de sms ou mms
• de vos conversations téléphoniques (par sms, mms, mail
attachement au format audio)
• La configuration de vos serveurs
– Réseau
– Ports
– Fonctionne sur
• Serveur
• PC
• Téléphone portable
– (tous systèmes d’exploitation)
• Téléphone fixe (via internet) ToIP
49. © Jean-Antoine
Moreau
copying and
reproduction
prohibited
Contact http://jeanantoine.moreau.free.fr
ExempleExemple
I. Une entreprise ou organisation a activités stratégiques.
II. Un responsable reçoit un mms avec photo ou attachement (jeux ou
autres).
III. Il ouvre l’attachement, et hop le spyware nouvelle génération
s’installe.
IV. Il enverra périodiquement où lorsqu’une séquence de touche sera
involontairement tapée, le contenu de(s) conversations
téléphonique(s), sms, mail, contacts, carnet d’adresse.
V. Plus subtile, le spyware le(s) fait envoyer directement à une adresse
définie, à vos frais.
VI. Mieux, la messagerie de votre téléphone portable est synchronisée
avec celle de votre ou vos PC (professionnel et personnel)
Mieux et avec les mêmes login /password
Ainsi vous aidez les pirates…
51. © Jean-Antoine
Moreau
copying and
reproduction
prohibited
Contact http://jeanantoine.moreau.free.fr
Risques - ConséquencesRisques - Conséquences
• Le concurrent peut être informé en temps réel
– du contenu de négociation
– de l’état d’esprit du négociateur
• Les informations sont envoyées aux frais du
piraté, de l’espionné.
Un contrôle des consommations régulier
Mise en place d’antivirus, même sur les téléphones
portables
52. © Jean-Antoine
Moreau
copying and
reproduction
prohibited
Contact http://jeanantoine.moreau.free.fr
• Pour éviter d’être impacter, il est aussi souhaitable:
– de se dissimuler
– de tromper
– d’utiliser et de mettre à disposition une cible dédiée
– de mettre en place
• des leurres
• des contres-mesures
– Cas de marchés ou projets stratégiques
de savoir pirater le spyware pour le retourner contre son
pilote et son auteur
53. © Jean-Antoine
Moreau
copying and
reproduction
prohibited
Contact http://jeanantoine.moreau.free.fr
Camouflages utilisés par le pirate informatiqueCamouflages utilisés par le pirate informatique
• L’adresse IP
• Le routage
• Point d’accès WiFi
• Point d’accès réseau par accès distants
– Tous accès type RTC (réseau téléphonique commuté) / MODEM
– Les accès par : en Cyber Café
• Exécution de programme sur machine distante (via ou par machine distante)
• Furtivité
– Proxy
• Enchainement
• Cascade
• Parallelisme
• Utilisation de logiciels et outils de maintenance natifs sur les équipements
• PC
• Téléphonie
• Serveur
• Réseau
– Couche basse
– IP
55. © Jean-Antoine
Moreau
copying and
reproduction
prohibited
Contact http://jeanantoine.moreau.free.fr
Camouflages simples pour vousCamouflages simples pour vous
Le Net est un nuage d’informations et de leurs
supports, intégrant les outils de transferts,
diffusions, et de traitement.
Pour ne pas vous faire prendre vos informations, il
ne faut pas :
Qu’on les trouvent dans ce nuage
Qu’on trouve leurs outils supports
Qu’on puisse utiliser le couple Application(s) / Données
57. © Jean-Antoine
Moreau
copying and
reproduction
prohibited
Contact http://jeanantoine.moreau.free.fr
Notion de PROXY - MULTI PROXYNotion de PROXY - MULTI PROXY
• Proxy :
– Tempon entre PC /réseau | Internet
– Permet de
• Consulter sur internet
• De stoker les pages
– Vu d’Internet c’est le proxy qui consulte
• Multi Proxy
– Utilise simultanément plusieurs adresses
• Proxy furtif
Internet PROXY
58. © Jean-Antoine
Moreau
copying and
reproduction
prohibited
Contact http://jeanantoine.moreau.free.fr
Types de PROXY
• Proxy :
– Tempon entre PC /réseau | Internet
– Permet de
• consulter sur internet
• de stoker les pages
– Vu d’Internet c’est le proxy qui consulte
• Multi Proxy
– Utilise simultanément plusieurs adresse pour
• Acces
• Recherche
• Consultation
• Téléchargement
• Proxy furtif
– Anonymat complet
60. © Jean-Antoine
Moreau
copying and
reproduction
prohibited
Contact http://jeanantoine.moreau.free.fr
WiFiWiFi
• La Sécurité est discutable
• Un seul équipement peu sécurisé intégré à un
réseau sécurisé, en pénalise l’efficience !
• Le cryptage est crackable
• Le firmware de routeur WiFi grand public est
crackable, les mots de passe se trouvent sur
internet, ainsi que les méthodes de re-
configuration (même à distance).
61. © Jean-Antoine
Moreau
copying and
reproduction
prohibited
Contact http://jeanantoine.moreau.free.fr
Attribution de l’Adresse RéseauAttribution de l’Adresse Réseau
• Manuel
ce qui demandera une gestion manuelle de
• Table de routage
• Table d’adressage
– Pour chaque réseau
• Automatique
– Par service DHCP ( dynamic host control protocol)
• Réservation
– de plages d’adresse
– d’adresse fixe
• Définir durée des baux
• Cohérence de serveurs DHCP répartis sur du multi-sites
• La configuration protocole / service / serveur / client DHCP sera vu en dans ce
cours
• Les accès à l’administration de ces services ne doivent pas être accessibles,
ou visibles de l’extérieur de la map
63. © Jean-Antoine
Moreau
copying and
reproduction
prohibited
Contact http://jeanantoine.moreau.free.fr
ConfigurationConfiguration
Définir la configuration de base
– IP
– DHCP
Définir la configuration routage
Définir la configuration service de noms
• Sysconfig
• Network script
• Interface
• Nsswitch
• ipconfig
• hostname
• netstat
• nslookup
• arp
64. © Jean-Antoine
Moreau
copying and
reproduction
prohibited
Contact http://jeanantoine.moreau.free.fr
Services RéseauxServices Réseaux
• Permettent
La communication entre équipements
Le client serveur (2 Tier)
Le client léger (3 Tier)
• Service principal
• Inetd
• internet service daemon
• Lien Service / Application
• En client serveur une application peut être associée à un port
La sécurité dans ce cas est aussi liée aux propriétés de ce lien
• Les services sont aussi associés à des ports
• ftp
• Telnet
• DNS
• http
L’utilisation des ports par défaut sans précaution, facilite le piratage
Le wrapper
Contrôle d’accès aux services par les ACL (acces control list)
xinetd
Remplace l’inetd, paramétrage plus fin.
67. © Jean-Antoine
Moreau
copying and
reproduction
prohibited
Contact http://jeanantoine.moreau.free.fr
ProcessusProcessus
• Hardware
– Carte réseau
– Câble ou équipement de connexion réseau
– Cas du Wifi
• Pilote de la carte
• Configuration IP
• Configuration des Services
• Test
– Intégrées dans les procédures d’exploitation informatique
• Mise en service
68. © Jean-Antoine
Moreau
copying and
reproduction
prohibited
Contact http://jeanantoine.moreau.free.fr
Communication : AdresseCommunication : Adresse
• Pour communiquer les hôtes doivent appartenir à un même réseau
• Définir l’adresse IP dans le réseau de classe réseau correspondante
• Format de l’adresse
– n1.n2.n3.n4
• Classes réseaux
– A grands réseaux ( n1 : 1 à 126)
– B réseaux intermédiaires ( n1 : 128 à 191)
– C petits réseaux (n1 : 192 à 223)
• Net mask (masque réseau)
– A 255.0.0.0
– B 255.255.0.0
– C 255.255.255.0
69. © Jean-Antoine
Moreau
copying and
reproduction
prohibited
Contact http://jeanantoine.moreau.free.fr
Processus
• Processus utilisables (natifs)
– NFS
• Network file system
– DNS
• Domain name system
– FTP
• File transfert protocol
– Telnet
• Connexion terminal non sécurisée
– DHCP
• Gestion automatisée des adresses (entre autres)
– SSH
• Connexion distante sécurisée
– Etc.
71. © Jean-Antoine
Moreau
copying and
reproduction
prohibited
Contact http://jeanantoine.moreau.free.fr
Utilitaire Outils ProcessusUtilitaire Outils Processus
RéseauxRéseaux
• Connexion à distance
– telnet (peu sécurisé)
– ssh (sécurisé)
– rlogin remote login
• Transfert
– ftp (peu sécurisé)
– scp (sécurisé)
– rcp lié au remote login (berkley)
– wget (write ou get) transfert en ftp ou http (non sécurisé avec trace)
• Synchronisation de fichier
– rsync le remote synchro, utilise ssh
• Execution à distance
– rsh remote shell lié au rlogin
73. © Jean-Antoine
Moreau
copying and
reproduction
prohibited
Contact http://jeanantoine.moreau.free.fr
FTP File Transfert ProtocoleFTP File Transfert Protocole
• Service du TCP-IP
• Service client – serveur
• Envoie
• Réception de fichiers
• Plusieurs mode de transfert
– Binaire (image, application, fichiers compressés, …)
– Ascii (texte, programme, …)
• Fonctions de
– Gestion des fichiers
– Gestion des répertoires
• Utilisation par client FTP
74. © Jean-Antoine
Moreau
copying and
reproduction
prohibited
Contact http://jeanantoine.moreau.free.fr
Le REMOTELe REMOTE
• Permet d’exécuter une action sur une machine distante
• Les commandes de REMOTE évite l’authentification
explicite
• Elles n’offrent aucune sécurité
– Il faut simplement que :
• La machine distante connaisse
– L’autre équipement
– L’utilisateur et son équivalence
79. © Jean-Antoine
Moreau
copying and
reproduction
prohibited
Contact http://jeanantoine.moreau.free.fr
SSH• Protocole SSH
– Echange de données cryptées
– Utilisation de clès privées | plubliques
– Identification par clé RSA
• Composants du ssh
– sshd le serveur
– ssh le client
– scp la copie
– ssh-keygen génération du couple clé privée | clé
publique. (clé RSA)
81. © Jean-Antoine
Moreau
copying and
reproduction
prohibited
Contact http://jeanantoine.moreau.free.fr
SSH
• Serveur ssh (configuration)
– port
– protocole
– ciphers (version du protocole: liste des algorithmes
supportés par le serveur)
– allowUsers (restriction à des utilisateurs spécifiés)
– denyusers (interdiction d’usage aux utilisateurs
spécifiés)
– allowgroup
– allowgroup
même principe, que pour alowuser
et denyuser, pour les groupes
82. © Jean-Antoine
Moreau
copying and
reproduction
prohibited
Contact http://jeanantoine.moreau.free.fr
Paramètres SSHParamètres SSH
• PermitRootLogin
– autorise ou pas la connexion à distance de l’administrateur (le root)
• Rhosts Authentification
– Spécifie le mode rhosts comme mode d’autenfication des clients
– sshd se comporte comme rshd
– le niveau de sécurité est équivalent
• RSA authentification
– Spécifie le mode RSA comme mode d’authentification Rhosts
• Server Key Bit
– Spécifie la taille des clés publiques
• DSA authentication
– Sécurisation ssh poussée par l’autorisation des clés DSA
• ..etc.
83. © Jean-Antoine
Moreau
copying and
reproduction
prohibited
Contact http://jeanantoine.moreau.free.fr
Services Réseaux RPCServices Réseaux RPC
• Remote Procédure call RPC
– Appel de procédure à distance,
– Utilisation d’un serveur d’application
– Client / Serveur
– Intégré au package TCP-IP
– La correspondance entre numéro de programme (référence) et
l’application etc/rpc
– Lien entre n° programme (référence), le port udp ou tcp se fait par
le daemon portmap, ainsi le portmap local mémorise le port udf ou
tcp, et le numéro de programme
– rcpinfo permet de visualiser les tables du portmap
84. © Jean-Antoine
Moreau
copying and
reproduction
prohibited
Contact http://jeanantoine.moreau.free.fr
NFS• Network File system
• Partage de fichiers à distance
• Liés aux package TCP-IP
• Type Client / Serveur
• Daemons utilisés
– Portmap
• Adressage service RPC
– rpc.mount
• Montage nécessaire au client
– rpc.nsfd
• Exécution des requêtes NFS
• Client NFT
– mount
• Montage d’un répertoire distant
– Autorisation > OK
• Alors
– Le répertoire est vue comme un File System de type NFS
– Autorisation de montage
• Fichier etc/fstab
86. © Jean-Antoine
Moreau
copying and
reproduction
prohibited
Contact http://jeanantoine.moreau.free.fr
NIS• Network Information Service
• Administration centralisée
– des informations sur un réseau
– des bases de données de configuration
• Gestion des comptes, users, group de plusieurs système UNIX ou LINUX à
partir d’un seul poste
• Permet la redondance et basculement du poste d’administration
– Très utile pour la mise en œuvre d’un plan de secours
– D’une salle informatique de backup
• Client / Serveur organisé en domaines
• Maps distributeurs sur les différents serveur d’un domaine NIS
• Un seul serveur maître par domaine
• Les serveurs esclaves contiennent uniquement la copie des données
• Repose sur un bibliothèque RPC (Remote Procedure Control)
• Mode sécuristé
• Transactions réseaux (cryptés, authentifiés)
• Identification UID (Unique Identification Number ), GID (Group
Identification)
87. © Jean-Antoine
Moreau
copying and
reproduction
prohibited
Contact http://jeanantoine.moreau.free.fr
Configuration• Le serveur maître
– Package yp-tolls, ypserv, ypbind
– Définir le nom de domaine
– Domaine NIS est distinct du domaine DNS
• Domainname
• Commande à lancer à chaque démarrage du système
• Le Client
– Vérification package
• commande rpm
• Si package absent
– Alors
» Yp-tools
» ypbind
– Définir le nom de domaine NIS
• domainname
• L’information est stockée suivant les distributions
– Soit /etc/sysconfig/network
– Soit /etc/defaultdomain
– Démarrer ou arrêter le client NFS
• /etc/rc.d/init.d/ypbind start
• ypbind stop
89. © Jean-Antoine
Moreau
copying and
reproduction
prohibited
Contact http://jeanantoine.moreau.free.fr
MAPSMAPS
• Création des Maps
– /var/yp
• Modification du fichier Makfile
– cd /var/yp
– vi Makefile (vi éditeur)
• Mise à jour des Maps
– Sur serveur esclave
• Propagation des maps du serveur maître vers les serveurs esclaves
( yppush)
• Le serveur esclave demande le transfert des maps du serveur maître
( ypxfr)
• Automatisation
– Par le cron (cron table)
90. © Jean-Antoine
Moreau
copying and
reproduction
prohibited
Contact http://jeanantoine.moreau.free.fr
Sécurité d’AccèsSécurité d’Accès
• Définir les clients autorisés à se connecter à un serveur
• /var/yp/securenets
• /etc/ypserv.securenets
• …
– Informations
• Netmask
• IP
• Sécurité d’accès aux maps serveur
– /etc/ypserv.conf configure l’accès aux maps serveur pour ypserv
et rpc.ypxfrd
• Attention par défaut tous les clients sont autorisés
impact direct sur la sécurité.
91. © Jean-Antoine
Moreau
copying and
reproduction
prohibited
Contact http://jeanantoine.moreau.free.fr
Création du Compte Utilisateur
• Lors de la création d’un compte NIS
– Création du compte NIS sur le serveur maître
– Création du répertoire de connexion sur le serveur hôte
– Ajout des services au comptes
• Services locaux
• Services à distribuer
93. © Jean-Antoine
Moreau
copying and
reproduction
prohibited
Contact http://jeanantoine.moreau.free.fr
RécapitulatifRécapitulatif
• Configuration
Serveur maître
• Renseigner l’hôte (serveur esclave) dans la map du serveur maître
– /var/yp
– vi ypsertvers (vi étant la commande d’appel de l’éditeur vi)
• Pour exectuer
– Makeypservers
Serveur esclave
• Installation des package client et serveur
• Renseigner le nom du domaine NIS d’appartenance
– domainname
• Création des maps du serveur esclave par copie
– ypinit –s nom-serveur-maître
Vérification des maps
• ls /var/yp/nom-serveur
• /etc/rc.d/init.d/ypserv star (lancement)
Propagation
• Mise à jour des map sur serveur esclave à partir du serveur maître
– Serveur maître vers serveur esclave (envoie)
» yppush
– Serveur esclave a partir du serveur maître (appel)
» ppxfr
94. © Jean-Antoine
Moreau
copying and
reproduction
prohibited
Contact http://jeanantoine.moreau.free.fr
LDAP• Open LDAP version open source de l’annuaire LDAP
Lightweight Directory Access Protocol
• Fonctionne en modèle client/serveur
• Les clients utilisent une API
– Application Programming Interface
• Les services du système peuvent être gérés via le LDAP
• Les outils d’administration qui supportent le protocole LDAP, peuvent
être gérés via le LDAP
• Format de stokage
– GNU ldbm (BerkeleyDB)
– BSD dbd
95. © Jean-Antoine
Moreau
copying and
reproduction
prohibited
Contact http://jeanantoine.moreau.free.fr
Préparation à l’installation• L’Installation peut demander, suivant les plates-
formes, un compilateur, des outils, aussi la
commande make
• Répertoire
– /etc/openldap
– sldap.conf (configuration)
• Script de configuration
– /configure
• La version de bibliothèque /lib/libdb doit être en
cohérence avec la version de l’open LDAP
Tous les répertoires sont protégés (droits)
96. © Jean-Antoine
Moreau
copying and
reproduction
prohibited
Contact http://jeanantoine.moreau.free.fr
LDAP fichiers de configurationLDAP fichiers de configuration
Serveur / ClientServeur / Client
• Serveur
– /etc/slapd.conf
– Intègre la définition des principaux composants du répertoire LDAP
– Type de base de donnée
• Ldbm
• Dbd
– Les schémas utilisés
– La définition de la racine de l’annuaire
– La définition des attributs et droits de l’administrateur sur le répertoire LDAP
– Les attributs de sécurité sous la forme d’ACL
• Access Control List
– Les modules externes à charger, nécessaires pour les fonctionnalités qui seront utilisées
– La localisation de la la base de donnée
– Les index
• Client
• /etc/ldap.conf
– la localisation peut varier en fonction du processus d’installation. le fichier ldap.con peut
aussi se trouver dans /usr/local/etc/openldap/ldap.conf
– Possibilité d’utiliser un lien symbolique
97. © Jean-Antoine
Moreau
copying and
reproduction
prohibited
Contact http://jeanantoine.moreau.free.fr
Lancement du Serveur LDAPLancement du Serveur LDAP
• Lancement
– soit /etc/init.d/ldap strat
– soit /user/local/libexec/sldap
• Ajout – Modification Retrait d’OBJETs de l’annuaire LDAP
– Les objets sont décrits dans une format normalisé
– LDIF le LDAP data interchange format)
– Les objets sont organisés sous la forme d’une arbre
– Chaque objet est identifié par son DN (distinguished name)
• Décrit aussi le chemin d’accès à l’objet dans l’annuaire LDAP
• DN
– Séquence du RND (relative distinguished names)
– Le 1er élément du DN est le nom de l’objet
– Identifiant d'une entrée LDAP.
– C'est un chemin dans l'arborescence de l'annuaire.
98. © Jean-Antoine
Moreau
copying and
reproduction
prohibited
Contact http://jeanantoine.moreau.free.fr
Règles de Gestion sur les ObjetsObjets
de l’AnnuaireAnnuaire
• 1 Objet appartient au moins à une famille d’objets :
– La CLASSE d’OBJETs
• Chaque CLASSE définit un ensemble d’attributs, de propriétés, pour
(qui caractérisent) les OBJETs de cette CLASSE
• 3 sortes de CLASSE
– CLASSE STRUCTURE
• Décrit un objet réel
• Chaque objet doit appartenir à une et une seule classe de ce type
• Aucun attribut de cette classe ne peut être modifiés dans l’objet
– CLASSE AUXILIAIRE
• Attribut complémentaire de l’objet
– CLASSE ABSTRAITE
• Ne peut être utiliser directement
• Utilisée pour créer des classes dérivées
• Normalement ne peut pas hériter d’une autre classe abstraite
100. © Jean-Antoine
Moreau
copying and
reproduction
prohibited
Contact http://jeanantoine.moreau.free.fr
• Sous Microsoft Server
• L’ACTIVE DIRECTORY intègre un LDAP
L’intégration totale ou partiele ou la mise à jour
d’annuaire se fait part l’implémentation des règles de
gestion dans les outils d’intégration
L’indexation mise à jour permet aussi la prise en
compte des objets intégrés ou mis à jour
103. © Jean-Antoine
Moreau
copying and
reproduction
prohibited
Contact http://jeanantoine.moreau.free.fr
Commandes LDAPCommandes LDAP
• Administration
– slapcat
• Sortie au format ldif (LDAP Directory Interchange Format)
de l’annuaire LDAP
– « Dump » de la base LDAP au format ldif
– slapadd
• Ajout d’objets dans l’annuaire
– Utilisation de fichier au format ldif et nommage fichier.ldif
– slapindex
• Construction des index de l’annuaire
– slappasswd
• génération de mot de passe de type utilisateur qui seront
modifiables avec la commande utilisateur ldapmodify
– Il s’agit de l’utilisateur au sens annuaire
104. © Jean-Antoine
Moreau
copying and
reproduction
prohibited
Contact http://jeanantoine.moreau.free.fr
Commandes LDAPCommandes LDAP
Utilisateur
– ldapmodify
• modification d’une entrée d’annuaire
– ldapcompare
– Comparaison attribut d’un objet de l’annuaire avec les valeurs
fournies en argument
– ldapdelete
• Destruction d’un ou de plusieurs objets de l’annuaire
– ldapmodrdn
• Modification du RDN d’un objet de l’annaire
• RDN Relative Distinguished Name
– ldappasswd
• Modification du champ username/password d’une objet de l’annuaire
– ldapwhoami
• Implémentation du whoami d’un objet de l’annauire
105. © Jean-Antoine
Moreau
copying and
reproduction
prohibited
Contact http://jeanantoine.moreau.free.fr
COMPTES UTILISATEURSCOMPTES UTILISATEURS
• Les comptes utilisateurs sont regroupés en sous-
ensemble DN de regroupement de compte
– DN Compte de groupe
– DN Compte de classe
• Pour que les clients trouvent le LDAP, il faut
aussi renseigner le
– /etc/nsswitch.conf
– Name Service Switch
• On pourra utiliser le service PAM
– Pluggable Authentification Module
– Service des authentifications
106. © Jean-Antoine
Moreau
copying and
reproduction
prohibited
Contact http://jeanantoine.moreau.free.fr
LDAP les SchémasLDAP les Schémas
• Les Schémas décrivent les attributs d’une famille d’objets
• Fichiers qui apportent des informations
– Filiation des Objets
– Attributs obligatoires
– /etc/openldap/schema/
• Attributs
• Description
• OID
– Objet Identifier
– Indentifiant unique de l’objet
• Chaine du type Objet
– ISO.ORG….INTERNET.PRIVATE.ENTREPRISE
• Les Schémas sont définis par l ‘IANA
– l’Internet Assigne Numbers Authority
107. © Jean-Antoine
Moreau
copying and
reproduction
prohibited
Contact http://jeanantoine.moreau.free.fr
LDAP les SchémasLDAP les Schémas
• Les Objets de type object.class possède
– un OID (Object Identifier)
– des Règles de recherche
– des attributs
Entreprise
Département
Service
fonction
Personne indivisibilité
La Classe Département
hérite de la Classe Entreprise
La Classe Service hérite de
La Classe Département
….
108. © Jean-Antoine
Moreau
copying and
reproduction
prohibited
Contact http://jeanantoine.moreau.free.fr
LDAP les INDEXLDAP les INDEX
• LDAP est une basse de données
• L’utilisation des Index améliore ses performances
• Commande
– sldapindex
• Vérification du fichier sldap.conf
– qui contient entre autre la racine supérieure de
l’annuaire
110. © Jean-Antoine
Moreau
copying and
reproduction
prohibited
Contact http://jeanantoine.moreau.free.fr
Les ACL RappelsLes ACL Rappels
• Les ACL
• Access Control List
• Liste de control d’accès
– Sont parcourus séquentiellement
– La première qui convient est appliquée
– On positionnera si possible en premier
– Les plus restrictives
– Celles qui donnent le droit d’écriture
– Les plus générales
– Le droit de lecture à tous
» Sera positionné en dernier
111. © Jean-Antoine
Moreau
copying and
reproduction
prohibited
Contact http://jeanantoine.moreau.free.fr
ACL’s LDAPACL’s LDAP
• Format de directive de création
– acces to <entrée d’annuaire> [by <le QUI> <autorisation>]
• le QUI :
– Tous les utilisateurs
– Seulement les utilisateurs authentifiés
– Connexion anonymes
• Autorisation
– Écrire
– Lire
– Recherche
– Comparaison
• Déconnexion
• Aucun droit
Un Client ne doit pas pouvoir
détruire un objet du LDAP
112. © Jean-Antoine
Moreau
copying and
reproduction
prohibited
Contact http://jeanantoine.moreau.free.fr
Serveurs Répliqués LDAPServeurs Répliqués LDAP
(préparation au mode secours)(préparation au mode secours)
• Possibilité de faire des serveurs
• Répliqué
• Secondaire
– Avec copie de l’annuaire du serveur principal
– Principe aussi utilisé dans l’Active Directory de MicroSoft
• Lorsque des clients adressent des requêtes
• Consultation indifféremment du
– Serveur maître
– Serveur secondaire
• Configuration serveur Maître
– sladp.conf
– daemon slurp
– exploiration slapcat
113. © Jean-Antoine
Moreau
copying and
reproduction
prohibited
Contact http://jeanantoine.moreau.free.fr
Serveurs Répliqués LDAPServeurs Répliqués LDAP
(préparation au mode secours)(préparation au mode secours)
• Serveur Secondaire
– Configuration
• fichier sldap.conf
• import de l’annuaire
• Démarrage des Daemons
– Serveur secondaire
• sldap
– Serveur Principal
• sldap
• slurpd
114. © Jean-Antoine
Moreau
copying and
reproduction
prohibited
Contact http://jeanantoine.moreau.free.fr
Partage de fichiers LINUX / WindowsPartage de fichiers LINUX / Windows
SAMBA avec le LDAPSAMBA avec le LDAP
• SAMBA
– Logiciel permettant de partager des ressources LINUX avec des
postes sous windows
• Installation
– Répertoire /usr/local/samba/
– Droits d’accès au répertoire
• Configuration
– Fichier de configuration SAMBA
• /usr/local/samba/lib/smb.conf
– Rubrique des informations nécessaires pour le lien linux samba (compte,
serveur, …, et les paramètres
• Création du password pour le compte SAMBA
– (en natif smbadmin )
115. © Jean-Antoine
Moreau
copying and
reproduction
prohibited
Contact http://jeanantoine.moreau.free.fr
DHCPDHCP
• Dynamic Host Configuration Protocol
• DHCP
– Client / Serveur
– Protocole
– Package TCP / IP
• Le Client du serveur DHCP
– Obtient des informations de configuration du serveur
DHCP
– Adresse IP
– Informations d’appartenance à un réseau ou sous-réseau
– …
116. © Jean-Antoine
Moreau
copying and
reproduction
prohibited
Contact http://jeanantoine.moreau.free.fr
DHCPDHCP
• Principe de fonctionnement :
Lors du déroulement de sa procédure de démarrage, le
PC client ou la station de travail cliente, ou la machine
servie, émet un message diffusé de demande
d’adresse IP
DHCP DISCOVER
Le client choisit le 1er serveur qui lui répond,
toujours avec un message de diffusion
DHCP REQUEST
• Ainsi les autres serveurs savent qu’ils n’ont pas été choisi.
Le serveur retenu répond par un message diffusé
DHCP ASK
• A ce moment là, le PC client n’a pas encore son adresse
117. © Jean-Antoine
Moreau
copying and
reproduction
prohibited
Contact http://jeanantoine.moreau.free.fr
PROCESSUS d’ALLOCATIONPROCESSUS d’ALLOCATION
d’ADRESSEd’ADRESSE
• Allocation manuelle
– L’administrateur alloue une adresse IP à une adresse
MAC
• Media Access Control : Identifiant physique de la carte réseau
• Allocation automatique
– Le serveur fournit l’adresse à partir d’un ensemble
d’adresses réservés à cet effet
• Allocation dynamique
– Le serveur fournit l’adresse à partir d’un ensemble
d’adresses réservées à cet effet, mais la possession de
l’adresse est limitée dans le temps: il y a un bailbail avec
une durée
118. © Jean-Antoine
Moreau
copying and
reproduction
prohibited
Contact http://jeanantoine.moreau.free.fr
Informations DHCPInformations DHCP
• Le DHCP prend en compte
– Le netmask (masque réseau)
– Les tables de routage
– La configuration DNS
– Adresse serveur Wins
• Si utilisation du NetBIOS
• Wins
– Windows Internet Name Service mappe dynamiquement les
adresses IP aux noms d'ordinateurs
– Le système d’exploitation
• Serveur
• Client
119. © Jean-Antoine
Moreau
copying and
reproduction
prohibited
Contact http://jeanantoine.moreau.free.fr
Informations DHCPInformations DHCP
• Le DHCP prend en compte
• Les sites avec plusieurs DHCP
– Spécialisation des DHCP en fonction de l’architecture
• tient compte des aspects fonctionnelles pour une meilleure
urbanisation
– Cas du multi-sites avec centralisation des adresses
• Les DHCP de Secours
• Intégration des adresses fixes périphériques utilisés
par des services partagés.
– Imprimantes
– Scanner
– Fax
– Unités de sauvegarde
– Centralisation des sauvegardes
– Externalisation des sauvegardes
121. © Jean-Antoine
Moreau
copying and
reproduction
prohibited
Contact http://jeanantoine.moreau.free.fr
APACHEAPACHE
• Serveur Web
• Logiciel libre, licence GNU
• Fourni en standard avec LINUX
• Client Web
– Internet Explorer
– Firefox
– …
• Page Web contient
– Texte
– Image
– Son
– Vidéo
• Communication entre Client et Serveur
Multi Média
122. © Jean-Antoine
Moreau
copying and
reproduction
prohibited
Contact http://jeanantoine.moreau.free.fr
CommunicationCommunication
Client – Serveur ApacheClient – Serveur Apache
• Communication entre Client (IE, Firefox, …) se fait
par le protocole HTTP (Hyper Text Transfert
Protocol)
• Le Protocole HTTP appartient au package TCP-IP
• Le format des fichiers échangés
• texte, html, image,
– Protocole MIME (Multipurpose Internet Mail Extensions)
aussi utilisé.
124. © Jean-Antoine
Moreau
copying and
reproduction
prohibited
Contact http://jeanantoine.moreau.free.fr
Arborescence du ServeurArborescence du Serveur
Apache
configuration données
Conf
Fichier de configuration
log Module
bibliothèque
html
Page web
Script
GCI
icons
Pour un site Web statique,on peut utiliser la configuration par défaut
125. © Jean-Antoine
Moreau
copying and
reproduction
prohibited
Contact http://jeanantoine.moreau.free.fr
Configuration du Serveur ApacheConfiguration du Serveur Apache
• Fichier de configuration
– conf/http.conf
• Paramètre / signification
– server-type standalone, Inetd
– serverName nom réseau du serveur
– serverAdmin adresse e-mail que le serveur inclut dans
tout message d'erreur retourné au client.
– serverRoot répertoire racine d’administration du
serveur où se trouve conf et logs
– user le propriétaire des processus http
– group le group propriétaire des processus httpd
126. © Jean-Antoine
Moreau
copying and
reproduction
prohibited
Contact http://jeanantoine.moreau.free.fr
Configuration du Serveur ApacheConfiguration du Serveur Apache
• listen
– Cette directive ou instruction définit le couple hôte:port
– Elle permet au serveur Apache de répondre à des requêtes adressé à plusieurs noms de
machines, donc à plusieurs adresse IP sur des ports particuliers
– Important lors de l’usage de plusieurs serveurs virtuels: virtuals host
• AccesConfig
– Fichier contenant les directives ou instruction sur la sécurité d’accès conf/acces.cnf
• DocumentRoot
– Répertoire contenant les pages web
• ScriptAlias
– Spécifie l’emplacement des scripts CGI
• TypeConfig
– Spécifie le nom des fichiers contenant des type MIME et extension
• DefautType
– Indique le type par defaut
• DirectoryIndex
– Spécifie le nom des fichiers d’index du répertoire pas défaut : index.html ou index.htm
127. © Jean-Antoine
Moreau
copying and
reproduction
prohibited
Contact http://jeanantoine.moreau.free.fr
VIRTUAL HOSTVIRTUAL HOST
Gestion de plusieurs sites web sur et par un
même serveur physique
Un même serveur Apache à la capacité de
gérer plusieurs sites web
Pour le serveur, il s’agit d’un site virtuel
Chaque site possède sa propre configuration
– En plus de la configuration globale du serveur
128. © Jean-Antoine
Moreau
copying and
reproduction
prohibited
Contact http://jeanantoine.moreau.free.fr
Les Sites VirtuelsLes Sites Virtuels
• Les sites virtuels sont distingués par le couple
adresse IP / port
• On pourra aussi les distingués par leur nom, en
utilisant le service DNS
• DNS
– Domain Name Service
– Permet l’association Nom de Serveur et adresse IP du
Serveur hébergeant le Serveur Apache.
• Possibilité d’avoir des Sites distingués par :
• Leur adresse IP
– Ou
• Leur Nom
129. © Jean-Antoine
Moreau
copying and
reproduction
prohibited
Contact http://jeanantoine.moreau.free.fr
ConfigurationConfiguration
• Configuration native
– Page HTML
– Site Statique
• Configuration (Common Gateway Interface)
– Pages Dynamiques
• Application activée lors de l’appel d’une page
– Indication de l’emplacement des CGI sur le serveur
– Chemin URL / CGI
– Prise en compte des chemins relatifs dans les requêtes web
– Tuning applicatif et virtual host pour amélioration des performances
• Configuration pour page PHP
– Utilisation du page et script écrit en PHP
– Site PHP avec ou sans requête sur SGBD
– Les scripts et pages PHP sont interprétés sur le serveur et non par le navigateur
– Installation et configuration du module PHP
– Tuning
130. © Jean-Antoine
Moreau
copying and
reproduction
prohibited
Contact http://jeanantoine.moreau.free.fr
ConfigurationConfiguration
• Configuration pour site ASP
– ASP Active Server Page
– Les pages s’executent sur le serveur
– Technologie Propriétaire Microsoft
– Portabilité sur LINUX en fonction des versions LINUX et ASP.NET,
de la version IIS (logiciel serveur des services Web)
• Configuration pour site PROXY
– Apache ou l’un des sites virtuel (virtual host) peut ou peuvent jouer le
rôle de PROXY
– Alors il sert d’intermédiaire pour accèder aux autres sites ou à des
sites distants.
– Un PROXY ainsi installé sur un part feu pourra autoriser l’accès aux
sites distants
– Le PROXY peut aussi être utiliser comme < cache > pour améliorer les
performances d’accès aux pages.
131. © Jean-Antoine
Moreau
copying and
reproduction
prohibited
Contact http://jeanantoine.moreau.free.fr
Apache – Performance - TuningApache – Performance - Tuning
• Paramètres
– MaxClients
• Nombre maximum de clients simultanées
– MaxRequestPerChild
• Nombre maximum de requête traitées par un processus fils
– StartServers
• Nombre de processus httpd fils, lancés au démarrage
– MaxSpareServers
• Nombre maximum de serveurs inoccupés conservés
– MinSpareServers
• Nombre minimum de serveurs inoccupés que l’on conservés
132. © Jean-Antoine
Moreau
copying and
reproduction
prohibited
Contact http://jeanantoine.moreau.free.fr
Apache Sécurité deApache Sécurité de
l’Arborescencel’Arborescence
• Il est possible de gérer, d’ouvrir ou de restreindre,
l’accès à un site
– Pour une nombre définit d’utilisateur
• La directive Directory
– Fichier de configuration
• Options
– Indexes
• Autorise l’utilisateur à visualiser le contenu de tout le
répertoire si le fichier index.html ou index.htm est absent
– ATTENTION: dans ce cas tout le monde pourra voir le contenu
et la structure du site
– FollowSymlinks
• Autorise le client à suivre les liens symboliques
133. © Jean-Antoine
Moreau
copying and
reproduction
prohibited
Contact http://jeanantoine.moreau.free.fr
Apache Sécurité deApache Sécurité de
l’Arborescencel’Arborescence
• Options (suite)
– AccessFileName
• Nom du fichier de configuration de la sécurité d’accès
• Par défaut < .htacces>
• Chaque répertoire peut contenir un fichier de ce type
• Ce fichier est utilisé pour le référencement
• AllowOverride
– Indique au serveur les options invalidables par un fichier .htaccess
• AuthType
– Protocole d’Identification d’un utilisateur
• AuthGroupFile
– Spécifie le nom du fichier qui contient la définition du groupe d’utilisateur
• AuthUserFile
– Spécifie le nom (login) et le mot de passe (password) utilisateur
• Require
– Spécification d’un site de contrôle d’accès
135. © Jean-Antoine
Moreau
copying and
reproduction
prohibited
Contact http://jeanantoine.moreau.free.fr
Tests - ExploitationTests - Exploitation
• Présence des Processus APACHE
– instruction ou directive ps
• Port actif
– netstat
• Accès à la page d’accueil
– Navigateur
• Log
– /var/log/httpd/acces_log
– /var/log/httpd/error_log
• Etat du Serveur
– http://serveur/server-status
137. © Jean-Antoine
Moreau
copying and
reproduction
prohibited
Contact http://jeanantoine.moreau.free.fr
Serveur DNSServeur DNS
• Daemon: named
• Configurations
– Caching-only :
• Le serveur n’est pas autorisé à répondre à une requête
• Il peut transférer la requête a un autre serveur
• Le serveur mémorise le résultat des requêtes, qu’il peut utiliser
– Primary-master :
• Les serveurs DNS maître Principal est la source des Informations
associées à un domaine DNS.
• Il a autorité pour répondre à une requête
– Secondary-master :
• Le serveur maître secondaire contient une copie des informations
mises à jour au niveau du serveur maître principal
• Il autorité pour répondre à une requête
138. © Jean-Antoine
Moreau
copying and
reproduction
prohibited
Contact http://jeanantoine.moreau.free.fr
ConfigurationConfiguration
• Le Démon named utilise :
• named.conf
– Les fonctions et les noms de fichiers de configuration
• named.ca
• Adresse IP des serveurs du domaine <root>
– named.local
• résolution de l’adresse de boucle local <local host>
– named.hosts
• Fichier de <zone file> contient les noms DNS et les adresses IP des hôtes
du domaine
– named.rev
• fichier de <zone fichier> contient les données inversés
– nom de machine > adresse IP
139. © Jean-Antoine
Moreau
copying and
reproduction
prohibited
Contact http://jeanantoine.moreau.free.fr
Les Serveurs DNSLes Serveurs DNS
• Serveur DNS Principal
– Contient tous les fichiers
• Serveur DNS secondaire
– Contient au minimum
• named.root
• named.local
• /etc/name.conf
• Serveur DNS de Secours
– Principe serveur DNS redondant principal
140. © Jean-Antoine
Moreau
copying and
reproduction
prohibited
Contact http://jeanantoine.moreau.free.fr
Format des Ressources DNSFormat des Ressources DNS
Format d’enregistrement ressources DNS
– Fichiers
• named.ca
• named.rev
– Structures des ressources DNS
• [nom] [durée-de-vie] classe type donnée
Nom : objet DNS
Durée de vie : en seconde dans la mémoire cache
Classe : réseau de transport utilisée
la classe IN – Internet pour le TCP-IP
Type: type d’enregistrement
SOA : strate off Authority
NS : Name server
A : Adress
PTR : pointer
MX : Mail eXhange
Identifieur du serveur de messagerie
CNAME : canonical name – alias machine
HINFO : Host Info
Architecture Matérielle, system Host
WKS : Well Know Services
Services Disponibles
141. © Jean-Antoine
Moreau
copying and
reproduction
prohibited
Contact http://jeanantoine.moreau.free.fr
SOA
• Type d’enregistrement
– Syntaxe exemple
• $TTL 1D
@ IN SOA debian root.testdev.local. (
2 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
– Syntaxe composition
• @ ttl IN SOA non serveur principal –e-mail administrateur
• (numero de serie
• Rafraichissement en seconde
• Relance sur essai
• Durée de vie des données en seconde)
• Commande de mise au point pour serveur DNS
– nslookup avec ses options et directives