Vous êtes sur la page 1sur 17

Scurit sous Linux

La menace (en anglais threat ) reprsente le type daction susceptible de nuire dans labsolu, tandis que la vulnrabilit (en anglais vulnerability , appele parfois faille ou brche) reprsente le niveau dexposition face la menace dans un contexte particulier. Afin de pouvoir scuriser un systme, il est ncessaire didentifier les menaces potentielles, et donc de connatre et de prvoir la faon de procder de lennemi. Le but de cette prsentation est ainsi de donner un aperu des motivations ventuelles des pirates ou crackers, de catgoriser ces derniers, et enfin de donner une ide de leur faon de procder afin de mieux comprendre comment il est possible de limiter les risques dintrusions.
Les hackers rsolvent les problmes et btissent...
Observez le matre Suivez le matre Marchez avec le matre Assistez le matre Devenez le matre

Les impacts de la ngligence

Ds le milieu des annes 70, les recherches sur la cybercriminalit mettaient en vidence lapparition de nouvelles menaces. Selon des sondages raliss aux Etats-Unis au dbut des annes 80, prs de 50 % des entreprises interroges avaient subi un acte de type cybercriminel. Vingt-cinq ans plus tard, la situation na fait quempirer. Oublie lheure des hackers hros de sries B ! Lartillerie lourde est sortie. La cybercriminalit engloutit des milliards dtourns de lconomie, et lon parle dsormais de (cyber)guerre entre Etats. Pour les Amricains, lennemi public numro un est larme de hackers chinois ; et pour les Chinois, ce sont les cyberunits de larme et les services despionnage amricains. Quelle est rellement la dimension de la menace ? Difficile dire. Mais on ne cesse daffirmer quelle est grande, chiffres lappui. Ces chiffres nous disent que la forteresse est sous le feu. En 1995, les 2 millions dordinateurs du rseau du dpartement de la Dfense amricain subissaient 250 000 cyberattaques. 65 % de toutes les attaques menes avaient russi ! A la fin des annes 2000, le rseau de larme amricaine, subissait quotidiennement plus de 3 millions de scans. Ces dernires annes, les botnets sont venus noircir le tableau, capables de prendre la main sur des millions dordinateurs, comme le clbre bot Mariposa qui infecta prs de 13 millions de machines dans le monde. Ajoutons cela les centaines de millions de donnes nominatives voles annuellement, y compris jusque dans les serveurs (soit-disant scuriss) de la police et de la Dfense ! Peu rassurant.

Les impacts de la ngligence

Des chiffres en hausse Il se trouve que la cybercriminalit a augment en 2009, chelle mondiale, compare lanne prcdente. La France, elle, obtient de bons chiffres puisquelle passe de la 8me la 13me place mondiale en matire de malveillance informatique, mais malgr tout, la vigilance et les sanctions restent indispensables. De manire gnrale, la cybercriminalit a augment de 71% en un an. Elle est calcule grce un rseau de millions d'ordinateurs, de comptes mails leurres afin d'attirer les spams et de sondes installes sur internet. Les pays les plus concerns sont les Etats-Unis et la Chine, d leur nombre important dinternautes, suivi par le Brsil, lAllemagne et lInde.

Chiffres de l'inscurit

Le cot de la non-scurit

On parle souvent, lorsque lon voque la scurit informatique, des cots y tant associs : cot du matriel, cot de lexpertise, cot de la maintenance Ce dont on parle moins en revanche, cest le cot de la NON-SCURIT INFORMATIQUE. Une rcente tude, 49% des professionnels informatiques europens ont not au moins deux incidents de scurit informatique entre mai 2010 et mai 2011. Selon ces derniers, les incidents survenus auraient cot au moins 250 000 Les moins chanceux (1%) ayant perdu plus dun million d'euros dans lhistoire. Il est noter que ces chiffres incluent les cots de rsolution du problme, de perturbation de lactivit de lentreprise, de pertes de revenus, de la hausse significative de tches raliser en interne ainsi que de nombreux autres postes de dpenses de moindre importance. Chiffre plus inquitant, 76% des sonds indiquent que les attaques enregistres sont beaucoup plus srieuses quauparavant, quelles sont plus difficile dtecter et contenir. Notons galement que les points dentre signals proviennent en grande partie (52%) des terminaux mobiles (iphone, smartphone...)

Risques sous Linux

Pas de Virus ?
La configuration par dfaut de Linux est gnralement plus sre que celle de Windows Les failles sont gnralement plus vite corriges Par dfaut, les utilisateurs de Linux n'ont pas les droits administrateur
"Ceux qui pensent encore que Linux est invulnrable aux menaces devraient changer d'avis rapidement"

Le Spam : pour envoyer plus de mails. Le DDoS : envoyer plus d'attaques sur un serveur pour le faire arrter de fonctionner. Le BruteForcing : trouver un mot de passe plus vite.

Anti Virus sous Linux

Eset Nod 32 Desktop sous Linux ESET File Security for Linux (pour les serveurs) ex. Postfix... ClamAV
Effectuer un filtrage efficace sur les serveurs de mails afin d'viter toute propagation de vers et de fichiers malicieux sur le rseau internes.
- Analyse virale de tous les messages qui transitent par le serveur SMTP. - Un contrle des mises jour doit tre effectu chaque mois par un responsable informatique.

Botnets

Les botnets malveillants servent principalement :


Relayer du spam pour du commerce illgal ou pour de la manipulation d'information (par exemple des cours de bourse) Raliser des oprations de phishing Identifier et infecter dautres machines par diffusion de virus et de programmes malveillants (malwares) Participer des attaques groupes (DDoS) Gnrer de faon abusive des clics sur un lien publicitaire au sein dune page web (fraude au clic) Capturer de linformation sur les machines compromises (vol puis revente d'information) Exploiter la puissance de calcul des machines ou effectuer des oprations de calcul distribu notamment pour cassage de mots de passe Servir mener des oprations de commerce illicite en grant l'accs des sites de ventes de produits interdits ou de contrefaons

Outils pour Linux

Metasploit Nessus SpamAssasin Denyhosts John the Ripper Perdition Ssh Iptables

Metasploit

Metasploit tait un projet open-source sur la scurit informatique qui fournit des informations sur des vulnrabilits, aide la pntration de systmes informatiss et au dveloppement de signatures pour les IDS. Le plus connu des sous-projets est le Metasploit Framework, un outil pour le dveloppement et l'excution d'exploits contre une machine distante. Cr l'origine en langage de programmation Perl, Metasploit Framework a t compltement r-crit en langage Ruby. Le plus notable est la publication de certains des exploits les plus techniquement sophistiqus auprs du public. De plus, il est un puissant outil pour les chercheurs en scurit tudiant des vulnrabilits potentielles. Metasploit peut tre utilis par les administrateurs pour tester la vulnrabilit des systmes informatiques afin de les protger, ou par les pirates a des fins de piratage. Comme la plupart des outils de scurit informatique, Metasploit peut tre utilis la fois de manire lgale et la fois pour des activits illgales.

Nessus

Nessus est un outil de scurit informatique. Il signale les faiblesses potentielles ou avres du matriel test (machines, quipement rseau). Nessus est capable de scanner un quipement (machine ou matriel rseau), un ensemble d'quipements ( partir d'un fichier ou d'une plage IP) ou encore un rseau entier. Le rsultat du scan fournira : -la liste des vulnrabilits par niveaux de criticit, -une description des vulnrabilits, et surtout la mthode ou un lien pour solutionner le problme. Il s'appuie pour cela sur une base de signatures des failles connues sur un large panel de systmes.

Mener des audits internes afin d'assurer le bon fonctionnement des mesures de scurit prises par l'entreprise.

John the Ripper

John the Ripper (ou JTR, ou John) est un logiciel libre de cassage de mot de passe, utilis notamment pour tester la scurit d'un mot de passe. (audit, crack). D'abord dvelopp pour tourner sous les systmes drivs d'UNIX, le programme fonctionne aujourd'hui sous une cinquantaine de plate-formes diffrentes, telles que BeOS, BSD et ses drivs, DOS, Linux, OpenVMS, Win32 John est l'un des craqueurs de mots de passe les plus populaires, car il inclut l'autodtection des tables de hachage utilises par les mots de passe, l'implmentation d'un grand nombre dalgorithmes de cassage, par le fait qu'il soit trs facilement modifiable, et aussi qu'il soit possible de reprendre une attaque aprs une pause (arrt de la machine).

sudo sudo sudo sudo

john mypasswd unshadow /etc/passwd /etc/shadow > passwd john mypasswd john --show passwd

Un audit concerne plusieurs critres : - Le niveau de scurit des mots de passe. - La vrification du changement des mots de passe tous les six mois. - L'tude des notes dlivres par le responsable scurit aux employs sur la politique des choix de mots de passe. Un exemple concret de test consisterait valuer la scurit des mots de passe de 30 utilisateurs, et identifier la proportion de mots de passe faibles.

SpamAssasin

Le but de ce logiciel est de filtrer le trafic des courriels pour radiquer les courriels reconnus comme pourriels ou courriels non sollicits. Face l'augmentation importante du spam, ce logiciel connat un engouement important et est adaptable sur de nombreux serveurs de courriels dont procmail, sendmail, Postfix, Exim, qmail ; il peut tre install sur la plupart des systmes bass sur Linux, Windows et Mac OS X. SpamAssassin est distribu gratuitement sous la licence Apache Software License. SpamAssassin est un programme (en Perl) qui fait passer un certain nombre de tests au message. En fonction du rsultat de ces tests, il attribue un score au message. Si le score dpasse un certain seuil, le courriel est alors considr comme du Spam. SpamAssassin modifie alors le titre du message (il l'encadre par ***** SPAM *****). De plus, SpamAssassin positionne deux nouveaux en-ttes au message : X-Spam-Status et X-Spam-Level. Ces deux en-ttes permettent alors de crer des filtres dans votre client de messagerie pour orienter le message (par exemple vers la corbeille). Tous les messages doivent donc passer par SpamAssassin pour tre traits, avant darriver dans leur dossier dfinitif.

HoneyPot Perdition

Un honeypot, ou pot de miel, est un ordinateur ou un programme volontairement vulnrable destin attirer et piger les pirates. Perdition est un serveur proxy pour les protocoles POP3, POP3S, IMAP4 et IMAP4S. Il est capable de grer des connexions SSL ou non-SSL et rediriger les utilisateurs vers un serveur rel suivant l'utilisateur (qui se trouve dans une base de donnes ou pas). Perdition est essentiellement utilis pour crer des systmes e-mail de grande envergure o les botes e-mails des utilisateurs se trouvent sur un ou plusieurs htes diffrents. Il peut tre galement utilis comme solution transitoire pour passer d'une authentification "texte brut" SSL.

Denyhosts

Finies les attaques bruteforce sur mon serveur...


Il permet automatiquement de bloquer les IPs qui tentent un peu trop de connexion vers votre serveur. Le script s'installe sous Debian avec apt-get install denyhosts et est directement fonctionnel. Les options de configuration sont trs nombreuses et se trouvent dans le fichier /etc/denyhosts.conf qui est bien document. Vous pouvez : -choisir le nombre de tentatives au bout desquelles bloquer une IP -choisir de bloquer plus rapidement les tentatives en root ou sur des comptes inexistants -bloquer les IPs que pour le SSH ou bien pour tous les services du serveur -retirer automatiquement les IPs du fichier /etc/hosts.deny aprs une dure dtermine -ne pas oublier de mettre au moins son IP dans le fichier /etc/hosts.allow

Ssh

OpenSsh Server
vi /etc/ssh/sshd_config Port 2222 PermitRootLogin no

Iptables

vi /etc/init.d/iptables chmod a+x /etc/init.d/iptables


#INTERDIRE IP iptables -A INPUT -s 192.168.1.1 -j DROP #INTERNET iptables -I INPUT -d 192.168.1.100 -p tcp --dport 80 -m string --to 700 --algo bm --string 'Host: 192.168.1.100' -j DROP iptables -I INPUT -d 192.168.1.100 -p tcp --dport 80 -m string --to 70 --algo bm --string 'GET /w00tw00t.at.ISC.SANS.' -j DROP iptables -A INPUT -p tcp --dport 80 -m state --state NEW -m recent --name BLACKLIST --set iptables -A INPUT -p tcp --dport 80 -m state --state NEW -m recent --name BLACKLIST --update --seconds 10 --hitcount 10 --rttl -j DROP

1/ Interdit de pointer sur son serveur web via l'ip 2/ Si vous avez un serveur apache qui tourne et vous avez accs aux log il est plus que probable que tu ai dj vu ce genre de logs : 213.211.134.23 [date] "GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1" 400 Ce n'est enfait qu'un scanner de vulnrabilits (DFind) sans grand intrt si ce n'est qu'il pollue en permance vos logs. 3/ Avec les deux rgles prcdentes je refuse (DROP) les nouvelles (-m state --state NEW) connexions entrantes (-A INPUT) au port http (--dport 80) qui atteignent le taux de 10 connexions (--hitcount 10) sur une priode de 10 secondes (--seconds 10) et qui utilisent le protocol tcp (-p tcp). La premire rgle sert mettre jour l'adresse IP dans la liste BLACKLIST et la seconde rgle permet de limiter les connexions.