4. Réseaux

a. TCP/IP

Certains paramètres de la couche TCP/IP peuvent être modifiés de manière à augmenter le niveau de sécurité d'un système Gnu/Linux.


Certains paquets ICMP peuvent ou doivent être ignorés. Les paquets ICMP redirect peuvent par exemple servir à indiquer à une machine la route à utiliser pour faire transiter des paquets IP. Ces paquets peuvent être utilisés lors d'une attaque de type « man in the middle », ou un pirate fait transiter les paquets circulant entre deux machines par la sienne, pouvant ainsi tout enregistrer ou modifier à sa guise. Il convient donc de refuser ces paquets :


# echo '0' > /proc/sys/net/ipv4/conf/all/accept_redirects


Les paquets ICMP de type echo request peuvent intervenir dans des scans d'étendue IP pour déterminer quelles machines sont rellement présentes, et peut donc permettre de se cacher, mais cela ne répond que de manière très simple, et surtout, cela n'est pas à faire sur des services qui servent justement à communiquer avec Internet, comme un serveur Web ou un serveur mail par exemple.


On va refuser les demandes de routage par la source, elle aussi utilisée pour des attaques de type man in the middle.


# echo '0' > /proc/sys/net/ipv4/conf/all/accept_source_route


La forge de paquet (IP spoofing), consiste à forger son identité pour cacher quelle est sa propre adresse IP. Cette technique peut permettre de pénétrer des réseau, en faisant croire à un routeur qu'un paquet en fait issu d'Internet vient du réseau, et ainsi pénétrer le réseau. Il convient d'activer la détection d'usurpation d'identité :


# echo '1' > /proc/sys/net/ipv4/conf/all/rp_filter


Le noyau Linux permet également de se protéger des attaques de type Syn Flood, qui consiste à ouvrir un très grand nombre de connexion TCP, sans donner de suite à ces demande d'établissement de connexion, dans le but de saturer la table des connexions TCP de la couche réseau, jusqu'à paralysie du système. On va activer un filtre de protection contre ce type d'attaque :


# echo '1' > /proc/sys/net/ipv4/tcp_syncookies


b. Topologie

Il est primordial du point de vue de la sécurité d'avoir une architecture réseau cohérente. Et une architecture cohérente est avant une architecture cloisonnée. On va segmenter le réseau en différentes zones, une zone démilitarisée (DMZ) contenant les machines proposant des services vers Internet, et une zone contenant le reste du réseau, qui ne propose pas de service vers Internet. Si une machine ouverte vers Internet est ainsi compromise, les machines internes resteront en sécurité. Il convient donc de posséder au moins deux pare-feu, un en contact direct avec Internet, et un deuxième pour protéger le réseau interne. Le matériel d'interconnexion ne devrait compter que des routeurs et des commutateurs, si possible implémentant des réseaux virtuels, encore appelés VLAN, pour permettre une segmentation permettant une segmentation sans avoir à segmenter physiquement les machines. Les VLAN sont documentés par la norme 802.1q, et sont implémentés dans la plupart des commutateurs modernes. Les concentrateurs sont à proscrire catégoriquement, de part le risque d'écoute des paquets réseau avec ce type d'équipement propageant les données sur toutes les branches du réseau.


Pour cela, on va définir les flux d'information autorisés, et donc préciser quelles machines doivent avoir accès à Internet, et comment elles sont relier entre elles. Les pare-feu ne devrait rien laisser passer en dehors de ce qui est prévu par ce document, et des listes d'accès peuvent être configurées sur les routeurs. Les machines ne devant en aucun cas avoir de rapport avec Internet doivent être isolées elles aussi, par des listes d'accès et ces machines ne devraient pas comporter de routes par défaut.


Note : Pour les pare-feu on pourra prendre des systèmes matériels spécialisés, ou configurer des systèmes Gnu/Linux par exemple, grâce à NetFilter, contenu dans la branche actuelle du noyau Linux, la 2.4. La configuration peut se faire avec la commande iptables, ou avec un outil de plus haut niveau, comme le logiciel de création de pare-feu ShoreWall, disponible sur ce site : http://www.shorewall.net , que je recommande chaudement.



3. Systèmes de fichiers
Sommaire
5. Chiffrement des communications