Sécurisation des serveurs

Institut des Sciences Appliquées ISA

Option: Génie Informatique
Période: Semestre 5
 Plan du cours

Introduction

Les précautions élémentaires

Ce qu’il ne faut pas faire

Surveillance réseau

Pour aller plus loin

Introduction
Les mesures de sécurités à prendre pour sécuriser un serveur dépendent des
services en place sur ce dernier, du niveau de confidentialité des données qu’il
contient et des risques encourus.

Les administrateurs systèmes, ou administrateurs réseau, sont responsables de la

préparation, de l’installation, mais aussi de la maintenance des serveurs. En effet,
le rôle d’un administrateur système ne s’arrête pas à l’installation et à la
configuration des machines, il détient aussi un rôle clé dans la sécurité du réseau
sur le long terme.
Les précautions élémentaires
Les précautions élémentaires (1)
• Limiter l’accès aux outils et interfaces d’administration aux seules personnes habilitées.

Utiliser des comptes de moindres privilèges pour les opérations courantes.

• Adopter une politique spécifique de mots de passe pour les administrateurs. Changer les mots
de passe, au moins, lors de chaque départ d’un administrateur et en cas de suspicion de
compromission.

• Installer les mises à jour critiques sans délai que ce soit pour les systèmes d’exploitation ou
pour les applications, en programmant une vérification automatique hebdomadaire

• En matière d’administration de bases de données ;

Les précautions élémentaires (2)
• utiliser des comptes nominatifs pour l’accès aux bases de données et créer des
comptes spécifiques à chaque application ;

• mettre en œuvre des mesures contre les attaques par injection de code SQL, de
scripts, etc.

• Effectuer des sauvegardes et les vérifier régulièrement.

• Mettre en œuvre le protocole TLS (en remplacement de SSL), ou un protocole

assurant le chiffrement et l’authentification, au minimum pour tout échange de
données sur internet et vérifier sa bonne mise en œuvre par des outils appropriés.
Les précautions élémentaires (3)
• Sécurisation des services

Les mises à jour de sécurité sont essentielles au maintien d’un certain niveau de sécurité des
serveurs, plus elles seront rapides plus le niveau de sécurité du système sera élevé.

• Isoler les services

L’administrateur peut et doit définir les droits utilisateurs mais aussi ceux des services qui
peuvent avoir accès à des données ou systèmes sensibles pour qu’en cas de faille la menace
puisse être contenue.

L’administrateur peut emprisonner les services les isoler de manière à ce qu’ils ignorent le reste
du système à l’aide des commandes chroot ou jail.
Les précautions élémentaires (4)
• Prévenir les scans et les attaques

Il existe plusieurs outils à mettre en place qui peuvent s’avérer pratique pour empêcher les attaques ou les scans sur
les ports du système.

Tout d’abord, en mettant en place un pare-feu qui s’occupera d’ouvrir uniquement les ports nécessaires aux services
activés et de limiter l’accès à certaines adresses IP notamment à celles des attaquant.
• Désactiver les services, les ports et logiciels inutilisés

Certains logiciels sont actifs par défaut sur les systèmes sans pour autant être nécessaire, et, en plus de présenter une
faille potentielle de plus au système, un service ou un logiciel inutilisé est aussi un service ou un logiciel de plus sur
lequel l’administrateur réseau doit se tenir informer, surveiller et mettre à jour.

Désactiver ses éléments inactifs est donc une nécessité qui permettra d’alléger la maintenance du système et en
éliminera les failles potentielles.
Les précautions élémentaires (5)
• Surveillance réseau
L’administrateur a aussi pour rôle la surveillance passive du réseau. Il en est donc responsable et doit se
tenir au courant des problèmes matériel, techniques, bugs et attaques qui peuvent survenir sur les machines
du réseau.

L’administrateur surveille les entrée et sortie du réseau, les logs systèmes qu’il stocke dans des journaux qui
doivent être de préférence externalisés, sauvegardé et archivés afin de garder trace des activités anormales
s’il y en a eu sur le réseau.

Elle ne suffit cependant pas à garantir le fait qu’il n’y ait pas eu d’intrusion sur le réseau parce qu’il y a un
risque que l’attaquant ait pu effacer ses traces.

Il existe certains outils qui permettent de prévenir les intrusions et de s’assurer qu’un attaquant n’aurait pas
gardé un accès caché au système via une backdoors ou un rootkits connus.
Besoin du chiffrement
Au-delà de l'utilité évidente de protéger les informations privées contre le
vol ou la menace, le chiffrement permet également de prouver que les
informations sont authentiques et issues de la source dont elles
prétendent venir. Il peut être utilisé pour vérifier l'origine d'un message
et pour confirmer qu'il n'a pas été modifié pendant la transmission.
Ce qu’il faut faire
Ce qu’il faut faire
• Utiliser des services non sécurisés (authentification en clair, flux en clair, etc.).
• Utiliser pour d’autres fonctions les serveurs hébergeant les bases de données,
notamment pour naviguer sur des sites web, accéder à la messagerie
électronique, etc.
• Placer les bases de données sur un serveur directement accessible depuis
Internet.
• Utiliser des comptes utilisateurs génériques (c’est-à-dire partagés entre
plusieurs utilisateurs).
Pour aller loin
Pour aller loin
• La recommandation de la CNIL sur les mots de passe liste les bonnes pratiques à respecter.

• Tout système traitant des données sensibles doit être mis en œuvre dans un environnement dédié (isolé).

• Les opérations d’administration des serveurs devraient se faire via un réseau dédié et isolé, accessible après une

authentification forte et avec une traçabilité renforcée.

• S’agissant des logiciels s’exécutant sur des serveurs, il est conseillé d’utiliser des outils de détection des vulnérabilités

(logiciels scanners de vulnérabilités tels que nmap, nessus, nikto, etc.) pour les traitements les plus critiques afin de

détecter d’éventuelles failles de sécurité. Des systèmes de détection et prévention des attaques sur des systèmes ou

serveurs critiques peuvent aussi être utilisés.

• Restreindre ou interdire l’accès physique et logique aux ports de diagnostic et de configuration à distance.

• L’ANSSI a publié sur son site diverses recommandations parmi lesquelles

la sécurisation de l’administration des systèmes d’information et les

Conclusion
Conclusion
La sécurisation des serveurs ne se limite pas à eux-mêmes, elle est
dépendante de tout le système. L’administrateur réseau est responsable
du maintien d’un niveau suffisant de sécurité du système dont il a la
charge.
Son rôle est de surveiller le réseau ainsi que de prévenir les attaques, et
pour se faire, il dispose d’un certain nombre de techniques et d’outils
pour l’aider dans son travail.