Généralités sur les systèmes d'exploitation - Site personnel de ...

More documents

Recommendations

Info

LO14 : Université Technologique de TroyesPrincipe du moindre privilège : on exécute chaque module dans un domaine de protection le plus réduitpossible.Ex : lecture de données; calcul; impression; n'ont pas besoin des mêmes privilèges (d'où le côté dynamiquepour un programme qui ferait ces trois opérations d'affilée).Le processus est décomposé en domaines et la matrice d'accès s'applique aux domaines.Les capacités sont des triplets (Utilisateur, Droits, Pointeur) L'utilisateur ne peut pas manipuler directementle pointeur.ACL (Access Control Lists)2°) TCP WRAPPER - tpcdNous avons déjà eu l'occasion de parler du démon inetd intermédiaire entre les serveurs et les clients. Poursatisfaire les besoins de sécurité on peut aussi utiliser un démon particulier tpcd. Ce démon offre lapossibilité de contrôler quels ordinateurs peuvent utiliser quels services réseau. Il s'installe donc entre inetdet les sous-démons. Pour configurer tpcd il suffit de réaliser les opérations suivantes :• modifier le fichier /etc/inetd.config• Envoyer un signal hangup à inetd (kill -HUP ....)• Créer le fichier /etc/hosts.allow• Créer le fichier /etc/hosts.deny.Le fichier ined.config est changé de la manière suivante :• avant :# sevice socket protocol wait user program argumentsftp stream tcp nowait root /usr/sbin/ftpd ftpdtelnet stream tcp nowait root /usr/sbin/telnetd telnetd• après :# sevice socket protocol wait user program argumentsftp stream tcp nowait root /usr/sbin/tcpd ftpdtelnet stream tcp nowait root /usr/sbin/tcpd telnetdL'accès est autorisé si une entrée du fichier de configuration /etc/hosts.allow accorde aux clients un droitd'accès. Si le client est trouvé dans ce fichier /etc/hosts.deny n'est pas analysé.L'accès est refusé si une entrée du fichier /etc/hosts.deny refuse aux clients l'accès.Si un client n'est trouvé dans aucun fichier l'accès est autorisé.Parmi les limites de sécurité de tcpd il y a le détournement d'adresse IP, par exemple présenté maintenant.3°) TCP Hijacking AttackCette attaque aussi connue sous le nom de "active sniffing" consiste à faire accepter l'adresse IP du crackercomme adresse de confiance. L'idée de base derrière cette attaque est que le cracker prend le contrôled'une machine sur le réseau, la déconnecte du réseau et trompe le serveur (la cible) en lui faisant croireque le cracker a pris sa place. Cette attaque a lieu naturellement après que le client et le serveur se sontconnectés.4°) Les attaques par désynchronisation activeComme on l'a appris au chapitre 6 une connexion TCP a besoin d'échanger des paquets synchronisés. Cechapitre sera approfondi avec l'exercice 2.a) Attaque par détournement et post désynchronisation ( Post-Desynchronization Hijacking Attack)L'idée de cette attaque est de modifier les deux nombres ISNS et ISNC (Initial Sequence Number introduitsau chapitre 6) du client et du serveur pour qu'ils ne correspondent plus, c'est à dire que le client ne puisseplus dialoguer directement avec le serveur. L'attaquant qui sera sur le réseau interceptera les trameséchangées changera leur ISN et éventuellement leurs données de telle manière que le client ait l'impressiond'être connecté au serveur. Les seules défenses connues sont l'utilisation du schéma de transmissionKERBEROS (couche application) ou l'implémentation de TCP cryptographique (couche transport).b) tempête TCP Ack (TCP Ack Storm)Quand un hôte (client ou serveur) reçoit un paquet inacceptable, l'hôte acquitte le paquet en envoyant lenuméro de séquence espéré à l'émetteur du paquet. Si un client et un serveur sont désynchronisés ils vonts'envoyer mutuellement ce genre de message en une boucle. Dans ce cas seule la perte d'un paquet peutarrêter cette tempête car ces paquets ne contenant pas de données, en cas de perte ils ne sont pasretransmis. Or agissant sur un réseau non sûr on va avoir un effet régulateur : plus on crée de tempête ACKplus on congestionne le réseau et plus on a de chance de perdre un paquet et donc d'arrêter la tempête.c) désynchronisation précoce (Early Desynchronization Attack)L'attaquant attend un paquet d'acquittement SYN/ACK entre un serveur et un client. Aussitôt détecté ilenvoie un RST au serveur puis aussitôt un SYN (demande de connexion) avec les mêmes paramètres quele client sauf le ISN qui sera différent. En continuant ainsi on arrivera à une connexion entre le serveur et le96 /98 S. Moutou : Cours
LO14 : Université Technologique de Troyesclient traversant l'ordinateur attaquant qui lui seul pourra ajouter ou retrancher les offsets pour lesresynchroniser tout en se gardant la possibilité de modifier les données.5°) Configurer un firewall filtrant sous LINUXUn firewall est un ordinateur ou appareil muni de deux interfaces réseaux qui sert à protéger et isoler lesréseaux les uns des autres. Le cas le plus courant est la protection d'un réseau interne d'une entreprise duréseau Internet. Le masquerading, aussi appelé Network Addreess Translation, permet de cacher unensemble de machines (un réseau) derrière une passerelle qui apparaît comme le seul système utilisant laconnexion Internet.Hôte 1192.168.1.1Hôte 2Hôte 3192.168.1.2192.168.1.3192.168.1.9Linuxmasq-gate139.62.45.23InternetLes règles de filtrage sont définies avec la commande ipfwadm.# par défaut interdire tout passageipfwadm -F -p deny# vider toutes les règles de filtrage pour avoir un firewall absoluipfwadm -F -fpfwadm -I -fpfwadm -O -f#autoriser l'accès de l'e-mail au serveur 192.1.2.10 (port 25)pfwadm -F -a accept -b -P tcp -S 0.0.0.0/0 1024:65535 -D 192.1.2.10 25...Bibliographie :Anonyme!!!! "Sécurité optimale" Simon & Schuster Macmillan (1999)Anonyme!!!! "Maximum Linux Security" Sams Publishing (2000)Lars Klander "Hacker Proof : the Ultimate Guide to Network Security Jamsa Press (1997)« Installation d'un Firewall/Masquerading sous Linux en quelques clics ! » Linux Magazine n°3 Fev 99 p51[1] Concerning Hackers who Break into Computer Systems, Dorothy Denning, proceedings of the 13thNational Computer Security Conference, 1990.[2] M.W. Eichin and J.A. Rollis, With Microscopes and Tweezers : An Analysis of The Internet Virus ofNovember 1988, 1989 IEEE Computer Society Symposium on Security and Privacy.[3] Fiche d'Expression Rationnelle des Objectifs de Sécurité, 150/SGDN/DISSI/SDSSI.[4] The Father Chrismas Worm James L. Green and Patricia L. Sisson, proceedings of the 12 th NationalComputer Security Conference, 1989.[5] Information Technology Security Evaluation Criteria, Version 1.2, June 91, Commission of the EuropeanCommunities.[6] Information Technology Security Evaluation Manual, Version 1.0, October 1993, Commission of theEuropean Communities.[7] ISO-7498-2-89.[8] Information System Security : A Comprehensive Model, captain John R. McClumber, proceedings of the14th National Computer Security Conference, 1989.[9] A Summary of Compter Misuse Techniques, Peter G. Neumann and Donn B. Parcker, proceedings ofthe 12th National Computer Security Conference, 1989.[10] Espionnage and Computer, Lonnie Moore, présentation à l'US DoE 11th Computer Security GroupConference, may 1988.[11] Computer Crime and Espionnage : Similarities and Lessons Learned, Lloyd F. Reese, proceedings ofthe 12th National Computer Security Conference , 1989.[12] Computers at Risk, System Security Study Committee, Computer Science and TelecommunicationsBoard, Commission on Physical Sciences, Mathematics and Applications, US National Research Council,National Academy Press, 1991.[13] An Epidemiology of Viruses & Network Worms, Clifford Stoll, proceedings of the 12th NationalComputer Security Conference, 1989.97 /98 S. Moutou : Cours
Page 1 and 2:
LO14 : Université Technologique de
Page 3 and 4:
UtilisateursLO14 : Université Tech
Page 5 and 6:
Page 8 and 9:
Page 10 and 11:
Page 12 and 13:
Page 14 and 15:
Page 16 and 17:
Page 18 and 19:
void *shmat(int shm_id, const void
Page 20 and 21:
main(){char commande[60];sprintf(co
Page 22 and 23:
Page 24 and 25:
Exemple :LO14 : Université Technol
Page 26 and 27:
Version IHDL Type of service Total
Page 28 and 29:
Page 30 and 31:
Page 32 and 33:
Page 34 and 35:
Page 36 and 37:
Page 38 and 39:
III) Problèmes logicielsLO14 : Uni
Page 40 and 41:
Nom du fichier8 3 1 10 octets2 2 2
Page 42 and 43:
Page 44 and 45:
Page 46 and 47: LO14 : Université Technologique de
Page 68 and 69: T1 T2 T1 T2x=read(A)x=x50write(A,
Page 92 and 93: 5.2.11 - TrappeLO14 : Université T
Page 98: LO14 : Université Technologique de
show all

Généralités sur les systèmes d'exploitation - Site personnel de ...

You also want an ePaper? Increase the reach of your titles

Delete template?

Save as template?