Linux sécurité informatique cours Jean-Antoine Moreau

Contact http://jeanantoine.moreau.free.fr
LINUXLINUX
Performance - Sécurité - Contre MesurePerformance - Sécurité - Contre Mesure
Base de stratégieBase de stratégie
Le RéseauLe Réseau
prise en compte des clientsprise en compte des clients AndroidAndroid
Jean-Antoine Moreau (contenu des deux cours)

© Jean-Antoine
Moreau
copying and
reproduction
prohibited
I. Présentation
II. Introduction à la Sécurité
 Logique
 Physique
 Contres Mesures
I. Prise en Compte dans le paramétrage des
équipements

© Jean-Antoine
Moreau
copying and
reproduction
prohibited
 Le partage ou la mise en commun sur service, avec des
droits et une Méthode, définis et formalisés:
 des données
 des applications
 des services
• des ressources
• de serveurs dédiés
 En local
 Sur site(s) distant(s)
 Se fait par le(s) réseau(x)
 Les équipements communiquent à l’aide d’un langage:
 Un même vocabulaire
 Une même grammaire
 Un même PROTOCOLE

© Jean-Antoine
Moreau
copying and
reproduction
prohibited
TCP / IP
TCP
– Transfert Control Protocol
IP
– Internet Protocol

© Jean-Antoine
Moreau
copying and
reproduction
prohibited
• IP v4
• IP v6
• Amélioration de
• La performance
• La sécurité
• Pas totalement ascendant compatible avec IP v4, d’autant par
ses ajouts fonctionnels
• Compatibilité de fait par les protocoles et services
• TCP (Transmission control protocol)
• UDP (User Datagram Protocol)
• ICMP (Internet Control Message Protocol)
• IGMP (Internet Group Management Protocol)
• DNS (Domain Name System)

© Jean-Antoine
Moreau
copying and
reproduction
prohibited
Les Couches Réseaux
1. Physique
2. Liaison
3. Réseau
4. Transport
5. Session
6. Présentation
7. Application

© Jean-Antoine
Moreau
copying and
reproduction
prohibited
COUCHES RESEAUX
dans l’utilisation quotidienne
physique
basses
processus
de base ou Réseau
transport
APPLICATIONS

© Jean-Antoine
Moreau
copying and
reproduction
prohibited
COUCHES RESEAUXCOUCHES RESEAUX
• Physique
– Carte Ethernet
– Câble
– Contrôleur (hardware)
– …
• Couche Basse
– Pilote
– Logiciel équipement
– …
• Couche réseau
– Couche IP
• ARP (Address resolution protocol)
• …
• Couche Transport
• TCP (Transmission Control Protocol)
• …

© Jean-Antoine
Moreau
copying and
reproduction
prohibited
SECURITE -StratégieSECURITE -Stratégie
• Avant une tentative d’intrusion:
 Le(s) Pirate s’informe sur
• Le système
• L’organisation
• Les modes et méthode d’utilisation
• Les utilisateurs
– Il cherche la faille
• Organisationnelle
• Humaine
• Technique
• Technologique
– Il analyse et réfléchit

© Jean-Antoine
Moreau
copying and
reproduction
prohibited
DEFAUTS DU TCP-IPDEFAUTS DU TCP-IP
• La norme
• La documentation sont ouvertes et diffusées
• Les évolutions
• Possibilités de lien entre réseaux hétérogènes
• Localisation par l’adresse IP
• Si IP v6 est plus sécurisé, les outils de gestion peuvent baissés le niveau de sécurité
• Risque sur :
– FTP
– telnet
– http
• Sécurisation
– ssh
– https
– ips

© Jean-Antoine
Moreau
copying and
reproduction
prohibited
OUTILS DU PIRATEOUTILS DU PIRATE
• Les outils de l’ingénierie réseau
– Il peut même utiliser (piloter) les votres à distance
• Les fonctions utilisées pour l’espionnage
• Scann
• Reniflage
• Analyse réseau
• Capture de trafic
• Information sur les connexions
– Physique
– Logique
» Dont SGBDR et données
partagées sur le cloud
• Routage et route de l’information
– Physique
– Logique
• Trace
– Trace laissée par l’information (différent du routage)
Toute fragmentation sur une route
de l’information est un risque de
faille de sécurité

© Jean-Antoine
Moreau
copying and
reproduction
prohibited
• La base
– ping
– tracert (trace route)
– whois
• Les chevaux de Troie
• Les spywares
• Les virus
• Les informations de vos sondes de sécurité (surveillance)

© Jean-Antoine
Moreau
copying and
reproduction
prohibited
• La souplesse
• L’adaptabilité
• La motivation

© Jean-Antoine
Moreau
copying and
reproduction
prohibited
Le Cheval de Troie ou leLe Cheval de Troie ou le
PROCESSUSPROCESSUS
 La ville de Troie est assiégée par les armées grecques réunies. Elle est
imprenable par les tactiques habituelles.
I. Ulysse, roi grec d'Ithaque, fait construire un cheval de bois.
II. Il se cache avec ses compagnons dans le cheval.
III. Le cheval est rendu visible à la ville de Troie.
IV. Les troyens transportent le cheval dans Troie (dans leur citée, chez eux)
V. La nuit venue :
1. Ulysse et ses compagnons sortent du cheval
2. Ouvrent les portes de la ville de Troie
3. Les armées grecs envahissent la ville de Troie

© Jean-Antoine
Moreau
copying and
reproduction
prohibited
PROCESSUSPROCESSUS
 La ville de Troie est assiégée par les armées grecques réunies. Elle est imprenable par les
tactiques habituelles.
IV. Les troyens transportent le cheval dans Troie.
V. La nuit venue :
 Aujourd’hui c’est ce processus qui est le plus souvent utilisé.
 La porte est ouverte de/par l’interne, elle est rarement forcée

© Jean-Antoine
Moreau
copying and
reproduction
prohibited
PROCESSUSPROCESSUS
 La porte est ouverte par l’interne, elle est rarement forcée
Deux cas :
Le pirate veut :
 réaliser et gagner un défi
ou bien
 voler ou détruire
Dans les deux cas
le pirate veut une
valorisation directe
ou par tiers

© Jean-Antoine
Moreau
copying and
reproduction
prohibited
Travail de Préparation etTravail de Préparation et
d’Installation du Pirated’Installation du Pirate
• Il lance l’installation en votre absence
• Il vous l’a fait lancer en tâche de fond (vous l’aidez sans
le savoir)
• Lorsque vous tapez sur une séquence de touche
– PC
– Téléphone fixe
– Téléphone portable
• Lors de l’appel d’une application
• Lors de l’installation
– d’une application
– d’une mise à jour
– d’un patch
– d’une macro

© Jean-Antoine
Moreau
copying and
reproduction
prohibited
VIRUS & MACROVIRUS & MACRO
• Virus
– Petit exécutable dont le but est de perturber le fonctionnement :
• D’une application
• D’un système
• D’un réseau
• D’une partie d’équipement
 Ou de vous prendre des informations
• Macros
– Petit programme qui permet d’automatiser des taches ou de créer
des fonctions nouvelles
• Exemple macro pour tableur
– Aucune macro ne peut être sécurisée à 100%
– La compatibilité ascendante de certaines macro peut altérer la
sécurité applicative
– Couches (transport à application)

© Jean-Antoine
Moreau
copying and
reproduction
prohibited
SpywareSpyware
• Logiciel espion
– Fonctionne comme un cheval de Troie
– Peut envoyer le contenu
• de vos disques
• de mail en en temps réel ou différé
• de sms ou mms
• de vos conversations téléphoniques
• de votre agenda
• de vos contacts avec leur téléphone et adresse postale et mail
• La configuration de vos serveurs
– Réseau
– Ports
– Fonctionne sur
• Serveur
• PC
• Téléphone portable
– (tous systèmes d’exploitation)
• Téléphone fixe (via internet) ToIP

© Jean-Antoine
Moreau
copying and
reproduction
prohibited
ExempleExemple
I. Une entreprise ou organisation a activités stratégiques.
II. Un responsable reçoit un mms avec photo ou
attachement (publicité ou autres).
III. Il ouvre l’attachement, et hop le spyware nouvelle
génération s’installe.
IV. Il enverra périodiquement où lorsqu’une séquence de
touche sera involontairement tapée, le contenu de(s)
conversations téléphonique(s), sms, mail, de votre
agenda, de vos contacts, de votre carnet d’adresse.
V. Plus subtile, le spyware le(s) fait envoyer directement à
une adresse définie, a une heure définie, ou lors du
démarrage ou de l’arrêt de votre PC. Pour votre
téléphone portable, le déclenchement peut se faire à
chaque sms ou à chaque appel reçu ou émis.

© Jean-Antoine
Moreau
copying and
reproduction
prohibited
Risques - ConséquencesRisques - Conséquences
• Votre concurrent peut être informé en temps réel
– du contenu de négociation
– de l’état d’esprit du négociateur
• Les informations sont envoyées aux frais du
piraté, de l’espionné.
 Un contrôle des consommations régulier

© Jean-Antoine
Moreau
copying and
reproduction
prohibited
• Pour éviter d’être impacter, il est souhaitable:
– de se dissimuler
– de tromper
– d’utiliser et de mettre à disposition une cible dédiée
– de mettre en place
• des leurres
• des contres-mesures
– Cas de marchés ou projets stratégiques
de savoir pirater le spyware pour le retourner contre son
pilote et son auteur.

© Jean-Antoine
Moreau
copying and
reproduction
prohibited
Camouflages utilisés par le pirate informatiqueCamouflages utilisés par le pirate informatique
• L’adresse ip
• Le routage
• Point d’accès WiFi
• Point d’accès réseau par accès distant
• Exécution de programme sur machine distante
• Furtivité
– Proxy
• Enchainement
• Cascade
• Parallelisme
• Utilisation de logiciels et outils de maintenance natifs sur les équipements
• Pc
• Téléphonie
• Serveur
• Réseau
– Couche basse
– IP

© Jean-Antoine
Moreau
copying and
reproduction
prohibited
Camouflages simples pour vousCamouflages simples pour vous
• Brouiller les pistes
– Faire croire que:
• Vous n’êtes pas vous ou pas là
• Vous n’êtes plus là
• Vous avez une seconde identitée (virtuelle)
• Diriger le pirate :
– Dans une forêt où il se perdra
• Le faire rebondir d’un arbre à l’autre, en lui faisant croire qu’il
avance (routage factice, adresse IP démultipliée virtuellement).
• Rediriger le chez lui

© Jean-Antoine
Moreau
copying and
reproduction
prohibited
Notion de PROXY - MULTI PROXYNotion de PROXY - MULTI PROXY
• Proxy :
– Tempon entre PC /réseau | Internet
– Permet de
• consulter sur internet
• de stoker les pages
– Vu d’Internet c’est le proxy qui
consulte
• Multi Proxy
– Utilise simultanément plusieurs
adresses
• Proxy furtif
Internet PROXY

© Jean-Antoine
Moreau
copying and
reproduction
prohibited
Types de PROXYTypes de PROXY
• Proxy :
– Permet de
– Vu d’Internet c’est le proxy qui consulte
• Multi Proxy
– Utilise simultanément plusieurs adresses pour
• Acces
• Recherche
• Consultation
• Téléchargement
• Proxy furtif
– Anonymat complet

© Jean-Antoine
Moreau
copying and
reproduction
prohibited
Logiciels spécifiquesLogiciels spécifiques
• Logiciels d’anonymat
• Logiciels de Contre Mesures

© Jean-Antoine
Moreau
copying and
reproduction
prohibited
WiFiWiFi
• La Sécurité est discutable
• Un seul équipement peu sécurisé intégré à un
réseau sécurisé, en pénalise l’efficience !
• Le cryptage est crackable
• Le firmware de routeur WiFi grand public est
crackable, les mots de passe se trouvent sur
internet, ainsi que les méthodes de re-
configuration.

© Jean-Antoine
Moreau
copying and
reproduction
prohibited
Second CoursSecond Cours
• Rappel du Premier cours
• Le Réseau
• Configuration / Services / Sécurité

Package TCP-IP V4 &V6
Services réseaux
Réseaux, Sous-Réseaux, Classes d’adresses
Proxy, SSH, Remote, RPC, RSA, NFS, NIS,
LDAP (classe et objets, héritage, modélisation UML)
DCHP serveur, clé RSA, ACL, ftp, rsyns, …..
Apache serveur Web (virtual host, tuning, sécurité)
Serveurs DNS primaire, secondaire,secours
Sécurité d’accès, gestion groupes et utilisateurs
Utilisation en Architecture de Secours
© Jean-Antoine Moreau
Reproductions et Copies interdites
Droits d’auteur gérés par l’ ADAGP www.adagp.fr

© Jean-Antoine
Moreau
copying and
reproduction
prohibited
I. Présentation
II. Introduction à la Sécurité
• Logique
• Physique
• Contres Mesures
I. Réseau
• Les Services
• Le Paramétrage
Implémentation duImplémentation du
cours précédentcours précédent

© Jean-Antoine
Moreau
copying and
reproduction
prohibited
 Le partage ou la mise en commun sur service:
 des données
 des applications
 des services
• des ressources
• de serveurs dédiés
 En local
 Sur site(s) distant(s)
 Se fait par le(s) réseau(x)
 Les équipements communiquent à l’aide d’un langage:
 Un même vocabulaire
 Une même grammaire
 Un même PROTOCOLE
RESEAU

© Jean-Antoine
Moreau
copying and
reproduction
prohibited
TCP / IPTCP / IP
TCP
– Transfert Control Protocol
IP
– Internet Protocol

© Jean-Antoine
Moreau
copying and
reproduction
prohibited
• IP v4
• IP v6
• Amélioration de
• La performance
• La sécurité
• Pas totalement ascendant compatible avec IP v4, d’autant
par ses ajouts fonctionnels
• Compatibilité de fait par les protocoles et services
• TCP (Transmission control protocol)
• IGMP (Internet Group Management Protocol)
• DNS (Domain Name System)

© Jean-Antoine
Moreau
copying and
reproduction
prohibited
Les Couches RéseauxLes Couches Réseaux
1. Physique
2. Liaison
3. Réseau
4. Transport
5. Session
6. Présentation
7. Application

© Jean-Antoine
Moreau
copying and
reproduction
prohibited
COUCHES RESEAUXCOUCHES RESEAUX
dans l’utilisation quotidiennedans l’utilisation quotidienne
physique
basses
processus
de base ou Réseau
transport
APPLICATIONS

© Jean-Antoine
Moreau
copying and
reproduction
prohibited
SECURITESECURITE – Stratégie - Rappel
• Avant une tentative d’intrusion:
 Le(s) Pirate s’informe sur
• Le système
• L’organisation
• Les modes et méthode d’utilisation
• Les utilisateurs
– Il cherche la faille
• Organisationnelle
• Humaine
• Technique
• Technologique
– Il analyseanalyse et réfléchitréfléchit

© Jean-Antoine
Moreau
copying and
reproduction
prohibited
RISQUES DU TCP-IPRISQUES DU TCP-IP
• La norme
• La documentation
• Les évolutions sont ouverts et diffusés pratiquement gratuitement
• Les distributions
• Les sources
• Possibilités de lien entre réseaux hétérogènes
• Localisation par l’adresse IP
• Si IP v6 est plus sécurisé, les outils de gestion non à jour peuvent baisser le niveaubaisser le niveau
de sécuritéde sécurité
• Risque sur :
– FTP
– telnet
– http
• Sécurisation
– ssh
– https
– ips

© Jean-Antoine
Moreau
copying and
reproduction
prohibited
• Les outils de l’ingénierie réseau
– Il peut même utiliser (piloter) les votres à distance
• Les fonctions utilisées pour l’espionnage
• Scann
• Reniflage
• Analyse réseau
• Capture de trafic
• Information sur les connexions
– Physique
– Logique
» Dont SGBDR et données sur le cloud
• Routage et route de l’information
– Physique
– Logique
• Trace
– Trace laissée par l’information (différent du routage)
Toute fragmentation sur une route
de l’information est un risque de
faille de sécurité

© Jean-Antoine
Moreau
copying and
reproduction
prohibited
• La base
– ping
– tracert (trace route)
– whois
• Les chevaux de Troie
• Les spywares
– Plus élaborer que les chevaux de Troie
• Les virus
– Plus spécialisés que les spywares
• Les informations de vos sondes de sécurité (surveillance)
• Les informations que vous lui donnez en répondant à des
questionnaires, dont vous ne connaissez pas l’émetteur

© Jean-Antoine
Moreau
copying and
reproduction
prohibited
PROCESSUSPROCESSUS
 La ville de Troie est assiégée par les armées grecques réunies. Elle est
imprenable par les tactiques habituelles.
IV. Les troyens transportent le cheval dans Troie (dans leur citée, chez eux)
V. La nuit venue :
1. Ulysse et ses compagnons sortent du cheval (Ils sont dans la ville)
Ulyse a utilisé un des principes de SunTzu dans l’art de la guerre

© Jean-Antoine
Moreau
copying and
reproduction
prohibited
PROCESSUSPROCESSUS
 La ville de Troie est assiégée par les armées grecques réunies. Elle est imprenable par les
tactiques habituelles.
IV. Les troyens transportent le cheval dans Troie.
V. La nuit venue :
Ulyse a utilisé un des principes de SunTzu dans l’Art de la Guerre
 La porte est ouverte par l’interne, elle est rarement forcée.

© Jean-Antoine
Moreau
copying and
reproduction
prohibited
PROCESSUSPROCESSUS
 La porte est ouverte par l’interne, elle est rarement forcée
Deux cas :
Le pirate veut :
 réaliser et gagner un défi
ou bien
 voler ou détruire ou perturber
Dans les deux cas
le pirate veut une
valorisation directe
ou par un tiers
Guerre Concurrentielle

© Jean-Antoine
Moreau
copying and
reproduction
prohibited
IMPACTIMPACT
La connaissance puis la maîtrise de l’information tierce est
une arme économique
Ce qui implique de nouvelles responsabilités aux postes et fonctions de :
Responsable Réseaux et Télécoms
Responsable d’Architecture (fonctionnelles ou technique)
Responsable de Production Informatique
Des Responsabilités sur la Stratégie de Sécurité de l’Information

© Jean-Antoine
Moreau
copying and
reproduction
prohibited
Travail de Préparation etTravail de Préparation et
d’Installation du Pirated’Installation du Pirate
• Il prépare sa configuration d’installation en votre absence
• Il vous a fait lancer l’installation en tâche de fond (vous l’aidez
sans le savoir, vous faites une partie de son travail), votre PC est
devenu lent…
• Lorsque vous tapez sur une séquence de touche
– PC
– Téléphone fixe
– Téléphone portable
• Lors de l’appel d’une application
• Lors de l’installation
– d’une application
– d’une mise à jour
– d’un patch
– d’une macro

© Jean-Antoine
Moreau
copying and
reproduction
prohibited
VIRUS & MACROVIRUS & MACRO
• Virus
– Petit exécutable dont le but est de perturber le fonctionnement
• D’une application
• D’un système
• D’un réseau
• D’une partie d’équipement
• Macros
– Petit programme qui permet d’automatiser des taches ou de
créer des fonctions nouvelles
• Exemple macro pour tableur ou traitement de texte
– Aucune macro ne peut être sécurisé à 100%
– La compatibilité ascendante de certaines macros peut altérer
la sécurité applicative (fichiers partagés, Client de Messagerie)
– Couches (transport à application)

© Jean-Antoine
Moreau
copying and
reproduction
prohibited
SpywareSpyware
• Logiciel espion
– Fonctionne comme un cheval de Troie
– Peut envoyer le contenu
• de vos disques
• de mail en en temps réel ou différé
• de sms ou mms
• de vos conversations téléphoniques (par sms, mms, mail
attachement au format audio)
• La configuration de vos serveurs
– Réseau
– Ports
– Fonctionne sur
• Serveur
• PC
• Téléphone portable
– (tous systèmes d’exploitation)
• Téléphone fixe (via internet) ToIP

© Jean-Antoine
Moreau
copying and
reproduction
prohibited
ExempleExemple
I. Une entreprise ou organisation a activités stratégiques.
II. Un responsable reçoit un mms avec photo ou attachement (jeux ou
autres).
III. Il ouvre l’attachement, et hop le spyware nouvelle génération
s’installe.
IV. Il enverra périodiquement où lorsqu’une séquence de touche sera
involontairement tapée, le contenu de(s) conversations
téléphonique(s), sms, mail, contacts, carnet d’adresse.
V. Plus subtile, le spyware le(s) fait envoyer directement à une adresse
définie, à vos frais.
VI. Mieux, la messagerie de votre téléphone portable est synchronisée
avec celle de votre ou vos PC (professionnel et personnel)
 Mieux et avec les mêmes login /password
 Ainsi vous aidez les pirates…

© Jean-Antoine
Moreau
copying and
reproduction
prohibited
Il faut donc une Méthodologie dont le
périmètre couvre au minimum ces points

© Jean-Antoine
Moreau
copying and
reproduction
prohibited
Risques - ConséquencesRisques - Conséquences
• Le concurrent peut être informé en temps réel
– du contenu de négociation
– de l’état d’esprit du négociateur
• Les informations sont envoyées aux frais du
piraté, de l’espionné.
Un contrôle des consommations régulier
Mise en place d’antivirus, même sur les téléphones
portables

© Jean-Antoine
Moreau
copying and
reproduction
prohibited
• Pour éviter d’être impacter, il est aussi souhaitable:
– de se dissimuler
– de tromper
– d’utiliser et de mettre à disposition une cible dédiée
– de mettre en place
• des leurres
• des contres-mesures
– Cas de marchés ou projets stratégiques
de savoir pirater le spyware pour le retourner contre son
pilote et son auteur

© Jean-Antoine
Moreau
copying and
reproduction
prohibited
Camouflages utilisés par le pirate informatiqueCamouflages utilisés par le pirate informatique
• L’adresse IP
• Le routage
• Point d’accès WiFi
• Point d’accès réseau par accès distants
– Tous accès type RTC (réseau téléphonique commuté) / MODEM
– Les accès par : en Cyber Café
• Exécution de programme sur machine distante (via ou par machine distante)
• Furtivité
– Proxy
• Enchainement
• Cascade
• Parallelisme
• Utilisation de logiciels et outils de maintenance natifs sur les équipements
• PC
• Téléphonie
• Serveur
• Réseau
– Couche basse
– IP

© Jean-Antoine
Moreau
copying and
reproduction
prohibited
Camouflages simples pour vous
• Brouiller les pistes
– Faire croire que:
• Vous n’êtes pas là (vos données & informations)
• Vous n’êtes plus là
• Vous avez une seconde identité (virtuelle)
• Perdez le pirate.

© Jean-Antoine
Moreau
copying and
reproduction
prohibited
Camouflages simples pour vousCamouflages simples pour vous
Le Net est un nuage d’informations et de leurs
supports, intégrant les outils de transferts,
diffusions, et de traitement.
Pour ne pas vous faire prendre vos informations, il
ne faut pas :
 Qu’on les trouvent dans ce nuage
 Qu’on trouve leurs outils supports
 Qu’on puisse utiliser le couple Application(s) / Données

© Jean-Antoine
Moreau
copying and
reproduction
prohibited
Camouflages simples pour vous
C’est l’image du poids d’une information, qui lui
donne de l’intérêt vu de l’extérieur de
l’organisation utilisatrice.

© Jean-Antoine
Moreau
copying and
reproduction
prohibited
Notion de PROXY - MULTI PROXYNotion de PROXY - MULTI PROXY
• Proxy :
– Permet de
• Consulter sur internet
• De stoker les pages
• Multi Proxy
– Utilise simultanément plusieurs adresses
• Proxy furtif
Internet PROXY

© Jean-Antoine
Moreau
copying and
reproduction
prohibited
Types de PROXY
• Proxy :
– Permet de
• Multi Proxy
– Utilise simultanément plusieurs adresse pour
• Acces
• Recherche
• Consultation
• Proxy furtif
– Anonymat complet

© Jean-Antoine
Moreau
copying and
reproduction
prohibited
Logiciels spécifiquesLogiciels spécifiques
• Logiciels d’anonymat
• Logiciels de Contre Mesures
– Brouiller, Leurrer

© Jean-Antoine
Moreau
copying and
reproduction
prohibited
WiFiWiFi
• La Sécurité est discutable
• Un seul équipement peu sécurisé intégré à un
réseau sécurisé, en pénalise l’efficience !
• Le cryptage est crackable
• Le firmware de routeur WiFi grand public est
crackable, les mots de passe se trouvent sur
internet, ainsi que les méthodes de re-
configuration (même à distance).

© Jean-Antoine
Moreau
copying and
reproduction
prohibited
Attribution de l’Adresse RéseauAttribution de l’Adresse Réseau
• Manuel
ce qui demandera une gestion manuelle de
• Table de routage
• Table d’adressage
– Pour chaque réseau
• Automatique
– Par service DHCP ( dynamic host control protocol)
• Réservation
– de plages d’adresse
– d’adresse fixe
• Définir durée des baux
• Cohérence de serveurs DHCP répartis sur du multi-sites
• La configuration protocole / service / serveur / client DHCP sera vu en dans ce
cours
• Les accès à l’administration de ces services ne doivent pas être accessibles,
ou visibles de l’extérieur de la map

© Jean-Antoine
Moreau
copying and
reproduction
prohibited
ConfigurationConfiguration
• Outils d’administration fournis avec la
distribution en cohérence avec la version de
Operating System support.
• Le Web Admin
• Le Linux conf

© Jean-Antoine
Moreau
copying and
reproduction
prohibited
 Définir la configuration de base
– IP
– DHCP
 Définir la configuration routage
 Définir la configuration service de noms
• Sysconfig
• Network script
• Interface
• Nsswitch
• ipconfig
• hostname
• netstat
• nslookup
• arp

© Jean-Antoine
Moreau
copying and
reproduction
prohibited
Services RéseauxServices Réseaux
• Permettent
 La communication entre équipements
 Le client serveur (2 Tier)
 Le client léger (3 Tier)
• Service principal
• Inetd
• internet service daemon
• Lien Service / Application
• En client serveur une application peut être associée à un port
 La sécurité dans ce cas est aussi liée aux propriétés de ce lien
• Les services sont aussi associés à des ports
• ftp
• Telnet
• DNS
• http
 L’utilisation des ports par défaut sans précaution, facilite le piratage
 Le wrapper
 Contrôle d’accès aux services par les ACL (acces control list)
 xinetd
 Remplace l’inetd, paramétrage plus fin.

© Jean-Antoine
Moreau
copying and
reproduction
prohibited
RAPPELRAPPEL
• TCP - IP
– Couche supérieure / couche transport
• UDP
• TCP
– Est utilisée par les applicatifs
– Couche IP
• ICMP
• ARP
– etc

© Jean-Antoine
Moreau
copying and
reproduction
prohibited
Ajout d’un équipementAjout d’un équipement
Physique
Logique

© Jean-Antoine
Moreau
copying and
reproduction
prohibited
ProcessusProcessus
• Hardware
– Carte réseau
– Câble ou équipement de connexion réseau
– Cas du Wifi
• Pilote de la carte
• Configuration IP
• Configuration des Services
• Test
– Intégrées dans les procédures d’exploitation informatique
• Mise en service

© Jean-Antoine
Moreau
copying and
reproduction
prohibited
Communication : AdresseCommunication : Adresse
• Pour communiquer les hôtes doivent appartenir à un même réseau
• Définir l’adresse IP dans le réseau de classe réseau correspondante
• Format de l’adresse
– n1.n2.n3.n4
• Classes réseaux
– A grands réseaux ( n1 : 1 à 126)
– B réseaux intermédiaires ( n1 : 128 à 191)
– C petits réseaux (n1 : 192 à 223)
• Net mask (masque réseau)
– A 255.0.0.0
– B 255.255.0.0
– C 255.255.255.0

© Jean-Antoine
Moreau
copying and
reproduction
prohibited
Processus
• Processus utilisables (natifs)
– NFS
• Network file system
– DNS
• Domain name system
– FTP
• File transfert protocol
– Telnet
• Connexion terminal non sécurisée
– DHCP
• Gestion automatisée des adresses (entre autres)
– SSH
• Connexion distante sécurisée
– Etc.

© Jean-Antoine
Moreau
copying and
reproduction
prohibited
Commandes de baseCommandes de base
• Sookets actives
– #netstat –an|more
• Port ouvert par application
– #netstat _am|more
• Ports actifs du système
– #nmap –st <Ipadresse>
• ConnexionTCP
– # netstat -tn

© Jean-Antoine
Moreau
copying and
reproduction
prohibited
Utilitaire Outils ProcessusUtilitaire Outils Processus
RéseauxRéseaux
• Connexion à distance
– telnet (peu sécurisé)
– ssh (sécurisé)
– rlogin remote login
• Transfert
– ftp (peu sécurisé)
– scp (sécurisé)
– rcp lié au remote login (berkley)
– wget (write ou get) transfert en ftp ou http (non sécurisé avec trace)
• Synchronisation de fichier
– rsync le remote synchro, utilise ssh
• Execution à distance
– rsh remote shell lié au rlogin

© Jean-Antoine
Moreau
copying and
reproduction
prohibited
TELNET
• Connexion à distance
– Type remote login
– Non sécurisée
– Traçable (avec trace externe)
– Avec émulation de terminal

© Jean-Antoine
Moreau
copying and
reproduction
prohibited
FTP File Transfert ProtocoleFTP File Transfert Protocole
• Service du TCP-IP
• Service client – serveur
• Envoie
• Réception de fichiers
• Plusieurs mode de transfert
– Binaire (image, application, fichiers compressés, …)
– Ascii (texte, programme, …)
• Fonctions de
– Gestion des fichiers
– Gestion des répertoires
• Utilisation par client FTP

© Jean-Antoine
Moreau
copying and
reproduction
prohibited
Le REMOTELe REMOTE
• Permet d’exécuter une action sur une machine distante
• Les commandes de REMOTE évite l’authentification
explicite
• Elles n’offrent aucune sécurité
– Il faut simplement que :
• La machine distante connaisse
– L’autre équipement
– L’utilisateur et son équivalence

© Jean-Antoine
Moreau
copying and
reproduction
prohibited
Le REMOTELe REMOTE
• rlogin Remote Login
• rsh execution d’une commande sur machine
distante
• rwho (utilisateurs connectés)
• rdist (maintient à l’identique une arborescence à
distance)

© Jean-Antoine
Moreau
copying and
reproduction
prohibited
WGETWGET
– 1 fichier désigné par une URL
– 1 arborescence complète
• Aspirateur de Site
• Gestion des Miroirs

© Jean-Antoine
Moreau
copying and
reproduction
prohibited
RSYNCRSYNC
• Maintenance et mise à jour à distance
– De fichiers
– D’arborescence
• Mise à jour par différenciation

© Jean-Antoine
Moreau
copying and
reproduction
prohibited
SSHSSH
• ssh (Secure Shell)
• Protocole
• Service
– Type client /serveur
• Commande

© Jean-Antoine
Moreau
copying and
reproduction
prohibited
SSH• Protocole SSH
– Echange de données cryptées
– Utilisation de clès privées | plubliques
– Identification par clé RSA
• Composants du ssh
– sshd le serveur
– ssh le client
– scp la copie
– ssh-keygen génération du couple clé privée | clé
publique. (clé RSA)

© Jean-Antoine
Moreau
copying and
reproduction
prohibited
RSA – Clé RSA
Algorithme de cryptographie asymétrique
Ronald Rivest, Adi Shamir et Leonard Adleman.
Massachusetts Institute of Technology

© Jean-Antoine
Moreau
copying and
reproduction
prohibited
SSH
• Serveur ssh (configuration)
– port
– protocole
– ciphers (version du protocole: liste des algorithmes
supportés par le serveur)
– allowUsers (restriction à des utilisateurs spécifiés)
– denyusers (interdiction d’usage aux utilisateurs
spécifiés)
– allowgroup
– allowgroup
même principe, que pour alowuser
et denyuser, pour les groupes

© Jean-Antoine
Moreau
copying and
reproduction
prohibited
Paramètres SSHParamètres SSH
• PermitRootLogin
– autorise ou pas la connexion à distance de l’administrateur (le root)
• Rhosts Authentification
– Spécifie le mode rhosts comme mode d’autenfication des clients
– sshd se comporte comme rshd
– le niveau de sécurité est équivalent
• RSA authentification
– Spécifie le mode RSA comme mode d’authentification Rhosts
• Server Key Bit
– Spécifie la taille des clés publiques
• DSA authentication
– Sécurisation ssh poussée par l’autorisation des clés DSA
• ..etc.

© Jean-Antoine
Moreau
copying and
reproduction
prohibited
Services Réseaux RPCServices Réseaux RPC
• Remote Procédure call RPC
– Appel de procédure à distance,
– Utilisation d’un serveur d’application
– Client / Serveur
– Intégré au package TCP-IP
– La correspondance entre numéro de programme (référence) et
l’application etc/rpc
– Lien entre n° programme (référence), le port udp ou tcp se fait par
le daemon portmap, ainsi le portmap local mémorise le port udf ou
tcp, et le numéro de programme
– rcpinfo permet de visualiser les tables du portmap

© Jean-Antoine
Moreau
copying and
reproduction
prohibited
NFS• Network File system
• Partage de fichiers à distance
• Liés aux package TCP-IP
• Type Client / Serveur
• Daemons utilisés
– Portmap
• Adressage service RPC
– rpc.mount
• Montage nécessaire au client
– rpc.nsfd
• Exécution des requêtes NFS
• Client NFT
– mount
• Montage d’un répertoire distant
– Autorisation > OK
• Alors
– Le répertoire est vue comme un File System de type NFS
– Autorisation de montage
• Fichier etc/fstab

© Jean-Antoine
Moreau
copying and
reproduction
prohibited
NFS TestsNFS Tests
• Serveur RPC
– rpcinfo
• Client NFS d’un serveur
– showmount
• Les ressources exportées
• Statistiques sur RPC et NFS
– nfstat

© Jean-Antoine
Moreau
copying and
reproduction
prohibited
NIS• Network Information Service
• Administration centralisée
– des informations sur un réseau
– des bases de données de configuration
• Gestion des comptes, users, group de plusieurs système UNIX ou LINUX à
partir d’un seul poste
• Permet la redondance et basculement du poste d’administration
– Très utile pour la mise en œuvre d’un plan de secours
– D’une salle informatique de backup
• Client / Serveur organisé en domaines
• Maps distributeurs sur les différents serveur d’un domaine NIS
• Un seul serveur maître par domaine
• Les serveurs esclaves contiennent uniquement la copie des données
• Repose sur un bibliothèque RPC (Remote Procedure Control)
• Mode sécuristé
• Transactions réseaux (cryptés, authentifiés)
• Identification UID (Unique Identification Number ), GID (Group
Identification)

© Jean-Antoine
Moreau
copying and
reproduction
prohibited
Configuration• Le serveur maître
– Package yp-tolls, ypserv, ypbind
– Définir le nom de domaine
– Domaine NIS est distinct du domaine DNS
• Domainname
• Commande à lancer à chaque démarrage du système
• Le Client
– Vérification package
• commande rpm
• Si package absent
– Alors
» Yp-tools
» ypbind
– Définir le nom de domaine NIS
• domainname
• L’information est stockée suivant les distributions
– Soit /etc/sysconfig/network
– Soit /etc/defaultdomain
– Démarrer ou arrêter le client NFS
• /etc/rc.d/init.d/ypbind start
• ypbind stop

© Jean-Antoine
Moreau
copying and
reproduction
prohibited
Les MapsLes Maps
• Arborescence serveur
– /var/yp (racine du service NIS)
• maps
– /var/yp/nom-domaine
– Table indexée sur une clé (nom,uid,adresse,ip, …)

© Jean-Antoine
Moreau
copying and
reproduction
prohibited
MAPSMAPS
• Création des Maps
– /var/yp
• Modification du fichier Makfile
– cd /var/yp
– vi Makefile (vi éditeur)
• Mise à jour des Maps
– Sur serveur esclave
• Propagation des maps du serveur maître vers les serveurs esclaves
( yppush)
• Le serveur esclave demande le transfert des maps du serveur maître
( ypxfr)
• Automatisation
– Par le cron (cron table)

© Jean-Antoine
Moreau
copying and
reproduction
prohibited
Sécurité d’AccèsSécurité d’Accès
• Définir les clients autorisés à se connecter à un serveur
• /var/yp/securenets
• /etc/ypserv.securenets
• …
– Informations
• Netmask
• IP
• Sécurité d’accès aux maps serveur
– /etc/ypserv.conf configure l’accès aux maps serveur pour ypserv
et rpc.ypxfrd
• Attention par défaut tous les clients sont autorisés
impact direct sur la sécurité.

© Jean-Antoine
Moreau
copying and
reproduction
prohibited
Création du Compte Utilisateur
• Lors de la création d’un compte NIS
– Création du compte NIS sur le serveur maître
– Création du répertoire de connexion sur le serveur hôte
– Ajout des services au comptes
• Services locaux
• Services à distribuer

© Jean-Antoine
Moreau
copying and
reproduction
prohibited
Test du Service
• Vérification de la Présence du serveur
– ps –e |grep ypserv
• Démarrage du client sur le serveur
– /etc/rc.d/init.d/ypbind start
• Visualisation de la Map
– ypcat
• …

© Jean-Antoine
Moreau
copying and
reproduction
prohibited
RécapitulatifRécapitulatif
• Configuration
 Serveur maître
• Renseigner l’hôte (serveur esclave) dans la map du serveur maître
– /var/yp
– vi ypsertvers (vi étant la commande d’appel de l’éditeur vi)
• Pour exectuer
– Makeypservers
 Serveur esclave
• Installation des package client et serveur
• Renseigner le nom du domaine NIS d’appartenance
– domainname
• Création des maps du serveur esclave par copie
– ypinit –s nom-serveur-maître
 Vérification des maps
• ls /var/yp/nom-serveur
• /etc/rc.d/init.d/ypserv star (lancement)
 Propagation
• Mise à jour des map sur serveur esclave à partir du serveur maître
– Serveur maître vers serveur esclave (envoie)
» yppush
– Serveur esclave a partir du serveur maître (appel)
» ppxfr

© Jean-Antoine
Moreau
copying and
reproduction
prohibited
LDAP• Open LDAP version open source de l’annuaire LDAP
Lightweight Directory Access Protocol
• Fonctionne en modèle client/serveur
• Les clients utilisent une API
– Application Programming Interface
• Les services du système peuvent être gérés via le LDAP
• Les outils d’administration qui supportent le protocole LDAP, peuvent
être gérés via le LDAP
• Format de stokage
– GNU ldbm (BerkeleyDB)
– BSD dbd

© Jean-Antoine
Moreau
copying and
reproduction
prohibited
Préparation à l’installation• L’Installation peut demander, suivant les plates-
formes, un compilateur, des outils, aussi la
commande make
• Répertoire
– /etc/openldap
– sldap.conf (configuration)
• Script de configuration
– /configure
• La version de bibliothèque /lib/libdb doit être en
cohérence avec la version de l’open LDAP
 Tous les répertoires sont protégés (droits)

© Jean-Antoine
Moreau
copying and
reproduction
prohibited
LDAP fichiers de configurationLDAP fichiers de configuration
Serveur / ClientServeur / Client
• Serveur
– /etc/slapd.conf
– Intègre la définition des principaux composants du répertoire LDAP
– Type de base de donnée
• Ldbm
• Dbd
– Les schémas utilisés
– La définition de la racine de l’annuaire
– La définition des attributs et droits de l’administrateur sur le répertoire LDAP
– Les attributs de sécurité sous la forme d’ACL
• Access Control List
– Les modules externes à charger, nécessaires pour les fonctionnalités qui seront utilisées
– La localisation de la la base de donnée
– Les index
• Client
• /etc/ldap.conf
– la localisation peut varier en fonction du processus d’installation. le fichier ldap.con peut
aussi se trouver dans /usr/local/etc/openldap/ldap.conf
– Possibilité d’utiliser un lien symbolique

© Jean-Antoine
Moreau
copying and
reproduction
prohibited
Lancement du Serveur LDAPLancement du Serveur LDAP
• Lancement
– soit /etc/init.d/ldap strat
– soit /user/local/libexec/sldap
• Ajout – Modification Retrait d’OBJETs de l’annuaire LDAP
– Les objets sont décrits dans une format normalisé
– LDIF le LDAP data interchange format)
– Les objets sont organisés sous la forme d’une arbre
– Chaque objet est identifié par son DN (distinguished name)
• Décrit aussi le chemin d’accès à l’objet dans l’annuaire LDAP
• DN
– Séquence du RND (relative distinguished names)
– Le 1er élément du DN est le nom de l’objet
– Identifiant d'une entrée LDAP.
– C'est un chemin dans l'arborescence de l'annuaire.

© Jean-Antoine
Moreau
copying and
reproduction
prohibited
Règles de Gestion sur les ObjetsObjets
de l’AnnuaireAnnuaire
• 1 Objet appartient au moins à une famille d’objets :
– La CLASSE d’OBJETs
• Chaque CLASSE définit un ensemble d’attributs, de propriétés, pour
(qui caractérisent) les OBJETs de cette CLASSE
• 3 sortes de CLASSE
– CLASSE STRUCTURE
• Décrit un objet réel
• Chaque objet doit appartenir à une et une seule classe de ce type
• Aucun attribut de cette classe ne peut être modifiés dans l’objet
– CLASSE AUXILIAIRE
• Attribut complémentaire de l’objet
– CLASSE ABSTRAITE
• Ne peut être utiliser directement
• Utilisée pour créer des classes dérivées
• Normalement ne peut pas hériter d’une autre classe abstraite

© Jean-Antoine
Moreau
copying and
reproduction
prohibited
Modélisation UMLModélisation UML
• Les règles de nommage du et dans LDAPLDAP
• L’arborescence / l’arbre
• Sont compatibles et instanciables avec les
schémas et les règles de l’UMLUML

© Jean-Antoine
Moreau
copying and
reproduction
prohibited
• Sous Microsoft Server
• L’ACTIVE DIRECTORY intègre un LDAP
 L’intégration totale ou partiele ou la mise à jour
d’annuaire se fait part l’implémentation des règles de
gestion dans les outils d’intégration
 L’indexation mise à jour permet aussi la prise en
compte des objets intégrés ou mis à jour

© Jean-Antoine
Moreau
copying and
reproduction
prohibited
APPLICATIONS
• Toutes les applications prévues pour utiliser un LDAP,
peuvent être CLIENT de l’ANNUAIRE
– Messagerie
– ERP
– GED
– e-commerce
• Market place
• Auction place
– etc.…

© Jean-Antoine
Moreau
copying and
reproduction
prohibited
Commandes LDAP
• Administration
– sldpa
• Daemon LDAP de l’annuaire local
– Slurp
• Daemon LDAP de l’annuaire répliqué
sldap slurp
fichier
lecture

© Jean-Antoine
Moreau
copying and
reproduction
prohibited
Commandes LDAPCommandes LDAP
• Administration
– slapcat
• Sortie au format ldif (LDAP Directory Interchange Format)
de l’annuaire LDAP
– « Dump » de la base LDAP au format ldif
– slapadd
• Ajout d’objets dans l’annuaire
– Utilisation de fichier au format ldif et nommage fichier.ldif
– slapindex
• Construction des index de l’annuaire
– slappasswd
• génération de mot de passe de type utilisateur qui seront
modifiables avec la commande utilisateur ldapmodify
– Il s’agit de l’utilisateur au sens annuaire

© Jean-Antoine
Moreau
copying and
reproduction
prohibited
Commandes LDAPCommandes LDAP
Utilisateur
– ldapmodify
• modification d’une entrée d’annuaire
– ldapcompare
– Comparaison attribut d’un objet de l’annuaire avec les valeurs
fournies en argument
– ldapdelete
• Destruction d’un ou de plusieurs objets de l’annuaire
– ldapmodrdn
• Modification du RDN d’un objet de l’annaire
• RDN Relative Distinguished Name
– ldappasswd
• Modification du champ username/password d’une objet de l’annuaire
– ldapwhoami
• Implémentation du whoami d’un objet de l’annauire

© Jean-Antoine
Moreau
copying and
reproduction
prohibited
COMPTES UTILISATEURSCOMPTES UTILISATEURS
• Les comptes utilisateurs sont regroupés en sous-
ensemble DN de regroupement de compte
– DN Compte de groupe
– DN Compte de classe
• Pour que les clients trouvent le LDAP, il faut
aussi renseigner le
– /etc/nsswitch.conf
– Name Service Switch
• On pourra utiliser le service PAM
– Pluggable Authentification Module
– Service des authentifications

© Jean-Antoine
Moreau
copying and
reproduction
prohibited
LDAP les SchémasLDAP les Schémas
• Les Schémas décrivent les attributs d’une famille d’objets
• Fichiers qui apportent des informations
– Filiation des Objets
– Attributs obligatoires
– /etc/openldap/schema/
• Attributs
• Description
• OID
– Objet Identifier
– Indentifiant unique de l’objet
• Chaine du type Objet
– ISO.ORG….INTERNET.PRIVATE.ENTREPRISE
• Les Schémas sont définis par l ‘IANA
– l’Internet Assigne Numbers Authority

© Jean-Antoine
Moreau
copying and
reproduction
prohibited
LDAP les SchémasLDAP les Schémas
• Les Objets de type object.class possède
– un OID (Object Identifier)
– des Règles de recherche
– des attributs
Entreprise
Département
Service
fonction
Personne indivisibilité
La Classe Département
hérite de la Classe Entreprise
La Classe Service hérite de
La Classe Département
….

© Jean-Antoine
Moreau
copying and
reproduction
prohibited
LDAP les INDEXLDAP les INDEX
• LDAP est une basse de données
• L’utilisation des Index améliore ses performances
• Commande
– sldapindex
• Vérification du fichier sldap.conf
– qui contient entre autre la racine supérieure de
l’annuaire

© Jean-Antoine
Moreau
copying and
reproduction
prohibited
ACL ‘s LDAP
• Permettent de définir les Autorisations
d’Accès des clients aux Objets de
l’Annuaire :
– Lire
– Écrire
– Recherche
Un Client ne doit pas pouvoir
détruire un objet du LDAP

© Jean-Antoine
Moreau
copying and
reproduction
prohibited
Les ACL RappelsLes ACL Rappels
• Les ACL
• Liste de control d’accès
– Sont parcourus séquentiellement
– La première qui convient est appliquée
– On positionnera si possible en premier
– Les plus restrictives
– Celles qui donnent le droit d’écriture
– Les plus générales
– Le droit de lecture à tous
» Sera positionné en dernier

© Jean-Antoine
Moreau
copying and
reproduction
prohibited
ACL’s LDAPACL’s LDAP
• Format de directive de création
– acces to <entrée d’annuaire> [by <le QUI> <autorisation>]
• le QUI :
– Tous les utilisateurs
– Seulement les utilisateurs authentifiés
– Connexion anonymes
• Autorisation
– Écrire
– Lire
– Recherche
– Comparaison
• Déconnexion
• Aucun droit
Un Client ne doit pas pouvoir
détruire un objet du LDAP

© Jean-Antoine
Moreau
copying and
reproduction
prohibited
Serveurs Répliqués LDAPServeurs Répliqués LDAP
(préparation au mode secours)(préparation au mode secours)
• Possibilité de faire des serveurs
• Répliqué
• Secondaire
– Avec copie de l’annuaire du serveur principal
– Principe aussi utilisé dans l’Active Directory de MicroSoft
• Lorsque des clients adressent des requêtes
• Consultation indifféremment du
– Serveur maître
– Serveur secondaire
• Configuration serveur Maître
– sladp.conf
– daemon slurp
– exploiration slapcat

© Jean-Antoine
Moreau
copying and
reproduction
prohibited
Serveurs Répliqués LDAPServeurs Répliqués LDAP
(préparation au mode secours)(préparation au mode secours)
• Serveur Secondaire
– Configuration
• fichier sldap.conf
• import de l’annuaire
• Démarrage des Daemons
– Serveur secondaire
• sldap
– Serveur Principal
• sldap
• slurpd

© Jean-Antoine
Moreau
copying and
reproduction
prohibited
Partage de fichiers LINUX / WindowsPartage de fichiers LINUX / Windows
SAMBA avec le LDAPSAMBA avec le LDAP
• SAMBA
– Logiciel permettant de partager des ressources LINUX avec des
postes sous windows
• Installation
– Répertoire /usr/local/samba/
– Droits d’accès au répertoire
• Configuration
– Fichier de configuration SAMBA
• /usr/local/samba/lib/smb.conf
– Rubrique des informations nécessaires pour le lien linux samba (compte,
serveur, …, et les paramètres
• Création du password pour le compte SAMBA
– (en natif smbadmin )

© Jean-Antoine
Moreau
copying and
reproduction
prohibited
DHCPDHCP
• Dynamic Host Configuration Protocol
• DHCP
– Client / Serveur
– Protocole
– Package TCP / IP
• Le Client du serveur DHCP
– Obtient des informations de configuration du serveur
DHCP
– Adresse IP
– Informations d’appartenance à un réseau ou sous-réseau
– …

© Jean-Antoine
Moreau
copying and
reproduction
prohibited
DHCPDHCP
• Principe de fonctionnement :
Lors du déroulement de sa procédure de démarrage, le
PC client ou la station de travail cliente, ou la machine
servie, émet un message diffusé de demande
d’adresse IP
DHCP DISCOVER
Le client choisit le 1er serveur qui lui répond,
toujours avec un message de diffusion
DHCP REQUEST
• Ainsi les autres serveurs savent qu’ils n’ont pas été choisi.
Le serveur retenu répond par un message diffusé
DHCP ASK
• A ce moment là, le PC client n’a pas encore son adresse

© Jean-Antoine
Moreau
copying and
reproduction
prohibited
PROCESSUS d’ALLOCATIONPROCESSUS d’ALLOCATION
d’ADRESSEd’ADRESSE
• Allocation manuelle
– L’administrateur alloue une adresse IP à une adresse
MAC
• Media Access Control : Identifiant physique de la carte réseau
• Allocation automatique
– Le serveur fournit l’adresse à partir d’un ensemble
d’adresses réservés à cet effet
• Allocation dynamique
– Le serveur fournit l’adresse à partir d’un ensemble
d’adresses réservées à cet effet, mais la possession de
l’adresse est limitée dans le temps: il y a un bailbail avec
une durée

© Jean-Antoine
Moreau
copying and
reproduction
prohibited
Informations DHCPInformations DHCP
• Le DHCP prend en compte
– Le netmask (masque réseau)
– Les tables de routage
– La configuration DNS
– Adresse serveur Wins
• Si utilisation du NetBIOS
• Wins
– Windows Internet Name Service mappe dynamiquement les
adresses IP aux noms d'ordinateurs
– Le système d’exploitation
• Serveur
• Client

© Jean-Antoine
Moreau
copying and
reproduction
prohibited
Informations DHCPInformations DHCP
• Le DHCP prend en compte
• Les sites avec plusieurs DHCP
– Spécialisation des DHCP en fonction de l’architecture
• tient compte des aspects fonctionnelles pour une meilleure
urbanisation
– Cas du multi-sites avec centralisation des adresses
• Les DHCP de Secours
• Intégration des adresses fixes périphériques utilisés
par des services partagés.
– Imprimantes
– Scanner
– Fax
– Unités de sauvegarde
– Centralisation des sauvegardes
– Externalisation des sauvegardes

© Jean-Antoine
Moreau
copying and
reproduction
prohibited
CONFIGURATION DHCPCONFIGURATION DHCP
• Package dhcp
• deamon dhcp suivant les version
• Fichier de configuration
– dhcpd.conf
• Les baux se trouvent dans
– dhcpd.leases
• Qui gére l’inscription des clients

© Jean-Antoine
Moreau
copying and
reproduction
prohibited
APACHEAPACHE
• Serveur Web
• Logiciel libre, licence GNU
• Fourni en standard avec LINUX
• Client Web
– Internet Explorer
– Firefox
– …
• Page Web contient
– Texte
– Image
– Son
– Vidéo
• Communication entre Client et Serveur
Multi Média

© Jean-Antoine
Moreau
copying and
reproduction
prohibited
CommunicationCommunication
Client – Serveur ApacheClient – Serveur Apache
• Communication entre Client (IE, Firefox, …) se fait
par le protocole HTTP (Hyper Text Transfert
Protocol)
• Le Protocole HTTP appartient au package TCP-IP
• Le format des fichiers échangés
• texte, html, image,
– Protocole MIME (Multipurpose Internet Mail Extensions)
aussi utilisé.

© Jean-Antoine
Moreau
copying and
reproduction
prohibited
Démarrage & Arrêt Serveur ApacheDémarrage & Arrêt Serveur Apache
• Script
– /etc/rc.d/rc3.d/S85httpd
• Manuel
– /etc/rc.d/init.d
– ./httpd/start
– ./httpd/stop

© Jean-Antoine
Moreau
copying and
reproduction
prohibited
Arborescence du ServeurArborescence du Serveur
Apache
configuration données
Conf
Fichier de configuration
log Module
bibliothèque
html
Page web
Script
GCI
icons
Pour un site Web statique,on peut utiliser la configuration par défaut

© Jean-Antoine
Moreau
copying and
reproduction
prohibited
Configuration du Serveur ApacheConfiguration du Serveur Apache
• Fichier de configuration
– conf/http.conf
• Paramètre / signification
– server-type standalone, Inetd
– serverName nom réseau du serveur
– serverAdmin adresse e-mail que le serveur inclut dans
tout message d'erreur retourné au client.
– serverRoot répertoire racine d’administration du
serveur où se trouve conf et logs
– user le propriétaire des processus http
– group le group propriétaire des processus httpd

© Jean-Antoine
Moreau
copying and
reproduction
prohibited
Configuration du Serveur ApacheConfiguration du Serveur Apache
• listen
– Cette directive ou instruction définit le couple hôte:port
– Elle permet au serveur Apache de répondre à des requêtes adressé à plusieurs noms de
machines, donc à plusieurs adresse IP sur des ports particuliers
– Important lors de l’usage de plusieurs serveurs virtuels: virtuals host
• AccesConfig
– Fichier contenant les directives ou instruction sur la sécurité d’accès conf/acces.cnf
• DocumentRoot
– Répertoire contenant les pages web
• ScriptAlias
– Spécifie l’emplacement des scripts CGI
• TypeConfig
– Spécifie le nom des fichiers contenant des type MIME et extension
• DefautType
– Indique le type par defaut
• DirectoryIndex
– Spécifie le nom des fichiers d’index du répertoire pas défaut : index.html ou index.htm

© Jean-Antoine
Moreau
copying and
reproduction
prohibited
VIRTUAL HOSTVIRTUAL HOST
Gestion de plusieurs sites web sur et par un
même serveur physique
Un même serveur Apache à la capacité de
gérer plusieurs sites web
Pour le serveur, il s’agit d’un site virtuel
Chaque site possède sa propre configuration
– En plus de la configuration globale du serveur

© Jean-Antoine
Moreau
copying and
reproduction
prohibited
Les Sites VirtuelsLes Sites Virtuels
• Les sites virtuels sont distingués par le couple
adresse IP / port
• On pourra aussi les distingués par leur nom, en
utilisant le service DNS
• DNS
– Domain Name Service
– Permet l’association Nom de Serveur et adresse IP du
Serveur hébergeant le Serveur Apache.
• Possibilité d’avoir des Sites distingués par :
• Leur adresse IP
– Ou
• Leur Nom

© Jean-Antoine
Moreau
copying and
reproduction
prohibited
• Configuration native
– Page HTML
– Site Statique
• Configuration (Common Gateway Interface)
– Pages Dynamiques
• Application activée lors de l’appel d’une page
– Indication de l’emplacement des CGI sur le serveur
– Chemin URL / CGI
– Prise en compte des chemins relatifs dans les requêtes web
– Tuning applicatif et virtual host pour amélioration des performances
• Configuration pour page PHP
– Utilisation du page et script écrit en PHP
– Site PHP avec ou sans requête sur SGBD
– Les scripts et pages PHP sont interprétés sur le serveur et non par le navigateur
– Installation et configuration du module PHP
– Tuning

© Jean-Antoine
Moreau
copying and
reproduction
prohibited
• Configuration pour site ASP
– ASP Active Server Page
– Les pages s’executent sur le serveur
– Technologie Propriétaire Microsoft
– Portabilité sur LINUX en fonction des versions LINUX et ASP.NET,
de la version IIS (logiciel serveur des services Web)
• Configuration pour site PROXY
– Apache ou l’un des sites virtuel (virtual host) peut ou peuvent jouer le
rôle de PROXY
– Alors il sert d’intermédiaire pour accèder aux autres sites ou à des
sites distants.
– Un PROXY ainsi installé sur un part feu pourra autoriser l’accès aux
sites distants
– Le PROXY peut aussi être utiliser comme < cache > pour améliorer les
performances d’accès aux pages.

© Jean-Antoine
Moreau
copying and
reproduction
prohibited
Apache – Performance - TuningApache – Performance - Tuning
• Paramètres
– MaxClients
• Nombre maximum de clients simultanées
– MaxRequestPerChild
• Nombre maximum de requête traitées par un processus fils
– StartServers
• Nombre de processus httpd fils, lancés au démarrage
– MaxSpareServers
• Nombre maximum de serveurs inoccupés conservés
– MinSpareServers
• Nombre minimum de serveurs inoccupés que l’on conservés

© Jean-Antoine
Moreau
copying and
reproduction
prohibited
Apache Sécurité deApache Sécurité de
l’Arborescencel’Arborescence
• Il est possible de gérer, d’ouvrir ou de restreindre,
l’accès à un site
– Pour une nombre définit d’utilisateur
• La directive Directory
– Fichier de configuration
• Options
– Indexes
• Autorise l’utilisateur à visualiser le contenu de tout le
répertoire si le fichier index.html ou index.htm est absent
– ATTENTION: dans ce cas tout le monde pourra voir le contenu
et la structure du site
– FollowSymlinks
• Autorise le client à suivre les liens symboliques

© Jean-Antoine
Moreau
copying and
reproduction
prohibited
Apache Sécurité deApache Sécurité de
l’Arborescencel’Arborescence
• Options (suite)
– AccessFileName
• Nom du fichier de configuration de la sécurité d’accès
• Par défaut < .htacces>
• Chaque répertoire peut contenir un fichier de ce type
• Ce fichier est utilisé pour le référencement
• AllowOverride
– Indique au serveur les options invalidables par un fichier .htaccess
• AuthType
– Protocole d’Identification d’un utilisateur
• AuthGroupFile
– Spécifie le nom du fichier qui contient la définition du groupe d’utilisateur
• AuthUserFile
– Spécifie le nom (login) et le mot de passe (password) utilisateur
• Require
– Spécification d’un site de contrôle d’accès

© Jean-Antoine
Moreau
copying and
reproduction
prohibited
APACHE les ModulesAPACHE les Modules
• APACHE est modulaire
• L’ajout de module se fait par :
– API
– Recompilation

© Jean-Antoine
Moreau
copying and
reproduction
prohibited
Tests - ExploitationTests - Exploitation
• Présence des Processus APACHE
– instruction ou directive ps
• Port actif
– netstat
• Accès à la page d’accueil
– Navigateur
• Log
– /var/log/httpd/acces_log
– /var/log/httpd/error_log
• Etat du Serveur
– http://serveur/server-status

© Jean-Antoine
Moreau
copying and
reproduction
prohibited
Serveur DNSServeur DNS
DNS Domain Name Server
• Permet à un hôte connaissant le nom d’un
autre hôte, d’obtenir son adresse IP en
s’adressant au serveur DNS

© Jean-Antoine
Moreau
copying and
reproduction
prohibited
Serveur DNSServeur DNS
• Daemon: named
• Configurations
– Caching-only :
• Le serveur n’est pas autorisé à répondre à une requête
• Il peut transférer la requête a un autre serveur
• Le serveur mémorise le résultat des requêtes, qu’il peut utiliser
– Primary-master :
• Les serveurs DNS maître Principal est la source des Informations
associées à un domaine DNS.
• Il a autorité pour répondre à une requête
– Secondary-master :
• Le serveur maître secondaire contient une copie des informations
mises à jour au niveau du serveur maître principal
• Il autorité pour répondre à une requête

© Jean-Antoine
Moreau
copying and
reproduction
prohibited
• Le Démon named utilise :
• named.conf
– Les fonctions et les noms de fichiers de configuration
• named.ca
• Adresse IP des serveurs du domaine <root>
– named.local
• résolution de l’adresse de boucle local <local host>
– named.hosts
• Fichier de <zone file> contient les noms DNS et les adresses IP des hôtes
du domaine
– named.rev
• fichier de <zone fichier> contient les données inversés
– nom de machine > adresse IP

© Jean-Antoine
Moreau
copying and
reproduction
prohibited
Les Serveurs DNSLes Serveurs DNS
• Serveur DNS Principal
– Contient tous les fichiers
• Serveur DNS secondaire
– Contient au minimum
• named.root
• named.local
• /etc/name.conf
• Serveur DNS de Secours
– Principe serveur DNS redondant principal

© Jean-Antoine
Moreau
copying and
reproduction
prohibited
Format des Ressources DNSFormat des Ressources DNS
Format d’enregistrement ressources DNS
– Fichiers
• named.ca
• named.rev
– Structures des ressources DNS
• [nom] [durée-de-vie] classe type donnée
Nom : objet DNS
Durée de vie : en seconde dans la mémoire cache
Classe : réseau de transport utilisée
la classe IN – Internet pour le TCP-IP
Type: type d’enregistrement
SOA : strate off Authority
NS : Name server
A : Adress
PTR : pointer
MX : Mail eXhange
Identifieur du serveur de messagerie
CNAME : canonical name – alias machine
HINFO : Host Info
Architecture Matérielle, system Host
WKS : Well Know Services
Services Disponibles

© Jean-Antoine
Moreau
copying and
reproduction
prohibited
SOA
• Type d’enregistrement
– Syntaxe exemple
• $TTL 1D
@ IN SOA debian root.testdev.local. (
2 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
– Syntaxe composition
• @ ttl IN SOA non serveur principal –e-mail administrateur
• (numero de serie
• Rafraichissement en seconde
• Relance sur essai
• Durée de vie des données en seconde)
• Commande de mise au point pour serveur DNS
– nslookup avec ses options et directives

Linux sécurité informatique cours Jean-Antoine Moreau

Recommandé

Recommandé

Contenu connexe

Tendances

Tendances (19)

En vedette

En vedette (20)

Similaire à Linux sécurité informatique cours Jean-Antoine Moreau

Similaire à Linux sécurité informatique cours Jean-Antoine Moreau (20)

Plus de Jean-Antoine Moreau

Plus de Jean-Antoine Moreau (20)

Dernier

Dernier (11)

Linux sécurité informatique cours Jean-Antoine Moreau