Les Réseaux Informatiques - Kro gpg

More documents

Recommendations

Info

90Les privilèges dans la machine sont le superuser (root) et l’utilisateur lambda.. Hélas beaucoup deprogrammes pour fonctionner ont besoin un faible instant de privilèges root. Lorsque ces programmes sontmal écrits, un utilisateur du système par un simple TELNET peut devenir root. L’accès à TELNET et aulangage de commande ne doit être donné qu’a des gens de confiance. Il n’est pas utile de faire du TELNETpour faire de la messagerie, du FTP ou du SQL (Base de donnée).L’interface utilisateur n’est pas très bonne. C’est un système pour spécialisteFaiblesse de la table des mots de passe :Celle-ci est accessible par n’importe quel utilisateur TELNET/FTP. En principe le mot de passe doit êtredans un fichier séparé possédé par root. (Shadow password). Sinon n’importe quel accès FTP utilisateurpermet de récupérer la table, puis un utilitaire (Crack) permet de trouver les mots de passe simples. D’ou leconseil, celui-ci doit être long et ne pas être dans un dictionnaire.Attention : si quelqu’un de l’INTERNET pirate le serveur, donc devient root, il pourra ensuite installer unsniffer et par conséquent lire ce qui se passe sur le réseau. On devra donc particulièrement surveiller uneinstallation de serveur Unix.Avez vous un bon ingénieur système Unix ?. A-t-il le temps de penser sécurité ?. Sur ce genre de serveur setrouve installé au départ un certain nombre de services INTERNET. Par exemple en standard se trouventinstallé des services FTP, Sendmail, TELNET, Finger, NFS. IL est bon de regarder ce qui est utile, et dedésinstaller ce qui ne sert pas. Concernant ce qui est utile, doit on ouvrir tel ou tel service à tousl’INTERNET ou juste à quelques adresses. Pour cela généralement, il est bon de regarder certains fichiers :/etc/inetd.conf Quels services lancer (se borner à POP FTP TELNET)/etc/hosts.allow Fichiers de configuration de TCP/Wrapper/etc/hosts.denyCes fichiers indiquent quelles adresses de l’INTERNET sont autorisées à accéder à quel service. Regarderles annonces de news://comp.os.security.announce. Surveiller les logs (/var/log/secure ou/var/log/messagessous Linux)• Les serveurs NTAvantages.Ils sont conviviaux, assez robustes (moins que Unix). On trouve beaucoup de logiciels. La prise en main esttrès rapide. Les configurations standard sont faciles à faire.Inconvénients.Lourd, gourmand en mémoire, pas facile d’automatiser des tâches car MICROSOFT n’a plus développé decommandes lignes depuis plusieurs années. Les boites de dialogue sont parfois moins compréhensiblesqu’un fichier de configuration en texte clair de Unix. Le système est binaire. Tout est stocké dans desregistries (mais sans commentaires..). Sortir des boites de dialogue et automatiser une installation est unproblème compliqué. C’est le syndrome du clickodrome !. De plus il faut souvent redémarrer. Sous Unix, onpeut changer l’adresse IP de la carte sans redémarrer.En ce moment, il faut aussi avoir une bonne paire de basket. Car en dehors de créer un utilisateur et demanipuler le disque, il faut se déplacer pour exécuter un jeu de commandes et faire certaines manipulations.Sécurité.Pas d’accès de prise de contrôle distante donc moins de problèmes ( mais c’est contraignant). Des attaquessur le compte de l’administrateur ont eu lieu. Les serveurs comme Samba sous Unix et dont les sources sontpublics ouvrent la porte de la connaissance et celle des attaques. Suite à de nombreuses bugs de sécurité, il afallu mettre en place des filtres pour se protéger de l’extérieur. Il faut à ce jour installer 3 services packs (parserveur NT) pour dormir tranquille.Les Gardes barrières.• Les routeurs / Firewall (ou garde barrières)Heureusement, ils sont là et permettent de centraliser la sécurité. On voit bien que chaque machine peutavoir ses faiblesses. En cas de problèmes, il faut pouvoir intervenir rapidement et le seul endroit ou passetoute l’information est le routeur. Ceux-ci ont maintenant des possibilités de filtrage basés sur lesadresses sources et destination IP ainsi que sur les numéros de port. Il est alors possible de dire que leTELNET extérieur ne pourra pas passer : Sur un routeur CISCO par ex :access-list 102 deny any any eq TELNET90
Ces commandes ont un sens d’application, on dit que l’access list s’applique en entrée ou sortie del’interface. Ceci permet surtout de contrôler totalement le réseau. En effet en Interne tout le monde peutbricoler un serveur mal configuré. Grâce à la politique des Firewall, ce serveur « non déclaré » ne pourraêtre visible.Les Topologies possibles de réseau• Bien protéger son réseau par une zone démilitarisée.On ne laisse que 2 ou 3 serveurs en accès extérieurs, le reste du réseau étant dans une zone nonaccessible. Dans cette zone, on y met le serveur de mail, le serveur de nom, le serveur WEB, ainsi que leserveur Proxy WEB/FTP. Dans cette solution, personne ne peut en interne mettre un donnée surl’INTERNET, accessible sur son poste . Il devra demander à l’Administrateur de la machine extérieureLa zone interne, peut avoir une classe de numéro IP non accessible de l’extérieur (ex 10.0.0.0) ou(192.168.0.0) ou 172.16.0.0On peut même pousser le vice à supprimer la passerelle dans la configuration d’un poste et ne plusmettre qu’une route manuelle. 55INTERNET et piratesZone PubliqueUne partie declasse CRouteur à deuxcartesETHERNETFirewallZone DémilitariséeDMZ. Un réseau nonroutable. Le réseau Internede l’entrepriseLe serveur WebLe DNSLe SMTP/POPLe ProxyDans ce cas de figure, une machine du réseau DMZ ne pourra faire un ping sur l’INTERNET. Elle passerapar les serveurs PROXY du réseau Public, pour faire des requêtes WEB .De quels services faut il se méfier sous Unix.1. Enlever tout ce qui sert à rien, surtout les démons lancés par root. Même le démon talk a eu des bugsde sécurité.2. Eviter les rcommandes (rlogin , rsh..) basées sur la confiance en une adresse IP ou pire en un nomFQDN. Regarder les fichiers .rhosts et les enlever.3. Enlever le shell aux utilisateurs (remplacer /bin/bash par /bin/true) dans /etc/passwd4. Avoir un mot de passe de root long > 8 caractères et alpha numérique5. Xwindow. Ne pas faire de commandes au hasard (xhost + par exemple). Filtrer les accés Xwindow surle firewall (Port 6000). En effet souvent une bug de sécurité permet de lancer la commande xterm –DISPLAY=adresse IP du pirate. Et un joli shell apparaît sur le terminal X du pirate.55 On peut le faire avec la commande route. On le met par exemple dans autoexec.batLes Réseaux Informatiques D. Lalot 91
Page 4 and 5:
4HISTORIQUEQuelques dates des évol
Page 6:
6Schéma typique de l’informatiqu
Page 9 and 10:
Le Manchester DifférentielIl tient
Page 11 and 12:
4 2 (RTS) Request to Send è5 ç (C
Page 13 and 14:
La Détection et la Correction d’
Page 15 and 16:
LES RESEAUX LOCAUXLes types de rés
Page 17 and 18:
1. Avant de parler on écoute le c
Page 19 and 20:
attention à avoir les mêmes types
Page 21 and 22:
Rôle du moniteurGérer la perte du
Page 23 and 24:
VLANSou Virtual Lan (Réseau Virtue
Page 25 and 26:
Chacun des canaux B est la proprié
Page 27 and 28:
SLIP ET PPPHistoriqueAu milieu des
Page 29 and 30:
L’affichage du Minitel est géré
Page 31 and 32:
ATMAsynchronous Transfer MethodCett
Page 33 and 34:
LESTECHNOLOGIES IPINTERNET PROTOCOL
Page 35 and 36:
L’ADRESSAGE IPLe principe de base
Page 37 and 38:
En effet si on a un classe C, on es
Page 39 and 40: du routeur. Ce routeur aura été a
Page 41 and 42: Le ARP gratuitCertains systèmes d
Page 43 and 44: Taille du datagramme, MTU (Maximum
Page 45 and 46: Les tables seraient les suivantes :
Page 47 and 48: Inconvénients• RIP manque aussi
Page 49 and 50: Les Messages ICMPINTERNET CONTROL A
Page 51 and 52: LE TRANSPORT IPUDP ou User Datagram
Page 53 and 54: Une session TCP ou UDP, s’identif
Page 55 and 56: Le serveur va acquitter cette ouver
Page 57 and 58: APPLICATIONSLES SERVEURS DE NOMDOMA
Page 59 and 60: Si le serial est modifié, les seco
Page 61 and 62: SNMPSimple Network Management Proto
Page 63 and 64: icmp.icmpInEchoReps.0 = 113icmp.icm
Page 65 and 66: BOOTP / DHCPLe Protocole d’amorce
Page 67 and 68: TFTPTrivial File Transfer Protocol
Page 69 and 70: L’utilitaire winzip sous Windows9
Page 71 and 72: Alors que SMTP ne demande aucun mot
Page 73 and 74: TELNET et RLOGINL’émulation de t
Page 75 and 76: Les NEWS et LISTSERVLes NEWS permet
Page 77 and 78: WEB (World Wide Web)HTTP (Hyper Tex
Page 79 and 80: Les processus fils, n’ont pas vu
Page 81 and 82: ANALYSE DE PROBLEMESUNIXLes command
Page 83 and 84: traceroute to pascal.ibp.fr (132.22
Page 85 and 86: LES RESEAUX LOCAUX DE PCApple a ver
Page 87 and 88: Si je désire partager des informat
Page 89: LA SECURITEVaste sujet que la sécu
Page 93 and 94: GERER LA PENURIE D’ADRESSENAT TRA
Page 95: Utilisateur chez lui ou autravail.
Page 98 and 99: 9898
show all

Les Réseaux Informatiques - Kro gpg

Create successful ePaper yourself

Delete template?

Save as template?