SÉCURITÉ : Apprendre à sécuriser la Pile TCP/IP

Principes

Même si la Pile TCP/IP du système d'exploitation GNU/Linux est reconnu, par beaucoup, comme étant une des plus stables,
APPLIQUER ce principe de précaution est bien loin d'être un mal, au contraire !

Pourquoi ? quels raisons peuvent nous motiver à...

-1- Pour la simple et seule raison de RENFORCER la robustesse de notre système face aux potentielles attaques !!

-2- Les paramètres par défaut sont TOUJOURS trop permissifs - du moins, ainsi faut-il les considérer pour une installation normale !!!

Fichier de config

La configuration de la couche réseau IP se fait grâce à la modification de ce fichier /etc/sysctl.conf dont voici l'extrait entier pris sur une Debian

#
# /etc/sysctl.conf - Configuration file for setting system variables
# See sysctl.conf (5) for information.
#
#kernel.domainname = example.com
#net/ipv4/icmp_echo_ignore_broadcasts=1

Le BUT est de :

Ignorer certains messages ICMP
ICMP Redirect

Leur fonction est d'indiquer le chemin le plus court. Cela est utile pour les interconnexions de routeurs, pas au sein de réseaux locaux !

ICMP Echo Request

Détournés de leur fonction principale, ils sont utilisés pour scanner un réseau ou provoquer une attaque DOS

ICMP Ignore Bogus Response

L'envoi de message ICMP Error au trafic Broadcast est interdit !

Surveiller certains trafics
Log Martians

Les paquets IP dont l'adresse source est falsifiée ou non routable est enregistrée. Cela révèle, en général, une mauvaise configuration réseau, voire une tentative de piratage !

Se protéger de certaines attaques
Interdire le Source Routing

Le Routage par la Source est une technique qui permet à un système donné d'envoyer des paquets vers une machine précise en l'adressant par une autre.

IP Spoofing

C'est une technique qui crée les paquets IP dont l'adresse source est falsifiée afin de passer les diverses barrières

SYN Flooding

Cette attaque DOS fonctionne par l'envoi d'un grand nombre de requêtes d'ouvertures de connexions TCP sans donner suite. Le but est de saturer la table de connexions du système d'exploitation, le paralysant ainsi.

 

Voici le fichier de configuration modifié en conséquence :
L'écriture de ce fichier, ici, est faite pour une Debian GNU/Linux...
pour RedHat, Mandrake, et autres similaires, écrivez plutôt de ce style : net.ipv4.conf.all.nom_action au lieu de /net/ipv4/conf/all/nom_action

 

Fichier de configuration /etc/sysctl.conf

Vous pouvez lire directement le fichier '/etc/sysctl.conf' modifié et le téléchargez si vous voulez !

Firewall(er)

Ces fonctionnalités peuvent aussi être intégré directement dans un script firewall, dans ce cas, ces règles s'écriront plutôt de cette forme :
echo "1" > /proc/net/ipv4/conf/all/nom_action

Quoiqu'il en soit, il est vraiment nécessaire d'adjoindre à cette protection des règles Iptables de base pour sécuriser le traffic IP entrant et sortant de la machine locale

 

Pagination

| Page : securite : pileTcpIp : |>>

 

 

^ Haut de page ^

Plan du site :: Date de mise-à-jour de cette page : 18-06-2007 :: Atom :: RSS :: Sitemap :: e-mail ::

Copyright 2004-2008 © EBNH Conception - CNIL : 841395 -

XHTML 1.0, CSS 2.1, WAI

HowTo 'Mémoire Grise Libérée' :
Hormis la documentation propre à nVidia ...
tout ce site est placé sous Licence Libre GNU/FDL...

Partenaires : aGeNUx : Evinux : Knoppix-fr : Linucie : Diaporama "Ad~Myre" : Odt2Xhtml : Xhtml2Pdf :