FIXME: Besoin de plus de contenu
Debian fournit aussi un certain nombre d'outils de sécurité qui peuvent faire de votre Debian une machine dont le but serait de réaliser des tests de sécurité. Ce but inclut la protection des systèmes d'information au travers de pare-feu (soit au niveau des paquets, soit au niveau des application), de détection d'intrusion (basé sur le réseau et sur l'hôte), évaluation des vulnérabilités, antivirus, réseau privé, etc.
Depuis Debian 3.0 (woody), la distribution propose des logiciels de chiffrage intégrés dans la distribution principale (main). OpenSSH et GNU Privacy Guard sont inclus dans l'installation par défaut et le chiffrage fort est maintenant présent dans les navigateurs web, les serveurs webs, les bases de données, etc. Une intégration plus poussée du chiffrage est prévue pour des versions ultérieures. Ces logiciels, à cause de restrictions d'export au États-Unis, n'étaient pas distribuées avec la distribution principale, mais inclus seulement dans les sites non-US.
Les outils fournis dans Debian pour effectuer une évaluation des vulnérabilités à distance sont : [26]
De loin, l'outil le plus complet et mis à jour est nessus
qui est
composé d'un client (nessus
) utilisé tel un GUI et un serveur
(nessusd
) qui lance les attaques programmées. Nessus inclut des
vulnérabilités à distance pour un grand nombre de systèmes incluant les
appareils réseaux, les serveurs ftp, les serveurs www, etc. Les dernières
versions sont capables même de parcourir un site web et d'essayer de découvrir
les pages interactives qui sont susceptibles d'être attaquées. Il existe
également des clients Java et Win32 (non inclus dans Debian) qui peuvent être
utilisés pour contacter le serveur de management.
Whisker
est un scanner pour évaluer les vulnérabilités de serveur
web uniquement et qui inclut aussi des tactiques anti-IDS (la plupart ne sont
plus des anti-IDS). C'est un des meilleurs scanners pour cgi
disponible, étant capable de détecter des serveurs web et de lancer un
assortiment d'attaques contre lui. La base de donnée utilisée pour scanner
peut être facilement modifiée pour fournir de nouvelles informations.
Bass
(Bulk Auditing Security Scanner) et Satan
(Security Auditing Tool for Analysing Networks) doivent plus être pensés comme
des programmes « preuve de concept » que comme des outils à utiliser
pour réaliser un audit. Ils sont anciens et ne sont pas tenus à jour.
Cependant, SATAN a été le premier outil à fournir des tests de vulnérabilités
de manière simple (GUI) et Bass est toujours un outil de vérification très
performant.
Debian fournit quelques outils pour parcourir des hôtes distants (toutefois en n'examinant pas les vulnérabilités). Ces outils sont, dans certains cas, utilisés tels des scanners de vulnérabilités. Ceci est le premier type d'« attaque » lancé contre des hôtes distants afin de tenter de déterminer les services disponibles. À l'heure actuelle, Debian fournit :
netdiag
)
Tandis que queso
et xprobe
fournissent uniquement la
détection des systèmes d'exploitations (en utilisant les empreintes TCP/IP),
nmap
et knocker
font les deux, la détection du
système d'exploitation et la détection de ports ouverts sur les hôtes distants.
D'un autre côté, hping2
et icmpush
peuvent être
utilisés pour des techniques d'attaques distantes ICMP.
Créé spécifiquement pour les réseaux Netbios, nbtscan
peut être
utilisé pour scanner des réseaux IP et retrouver des informations sur les noms
de serveurs ayant le SMB d'activé, ceci incluant : les noms
d'utilisateurs, les noms des réseaux, les adresses MAC, ...
D'un autre côté, fragrouter
peut être utilisé pour tester des
systèmes de détection d'intrusion réseau et voir si le NIDS peut être éludé par
des attaques par fragmentation (de paquets).
FIXME: Vérifier Bug
#153117
(ITP fragrouter) pour voir s'il est inclus.
FIXME: ajouter des informations basés sur Debian Linux Laptop for Road
Warriors
qui décrit comment utiliser Debian et un ordinateur
portable pour parcourir les réseaux sans fils (803.1).
De nos jours, seul l'outil tiger
utilisé dans Debian peut être
utilisé pour effectuer un audit interne (également appelé boîte blanche (white
box)) d'hôtes de façon à déterminer si le système de fichiers est installé
correctement, quels processus sont à l'écoute sur l'hôte, etc...
Debian fournit trois paquets qui peuvent être utilisés pour contrôler le code source de programmes C/C++ et trouver les erreurs de programmation qui peuvent mener à de potentielles fautes de sécurité :
Un réseau privé virtuel (VPN) est un groupe de deux ou plusieurs ordinateurs, habituellement connecté à un réseau privé avec un accès réseau public limité, qui communiquent de façon sécurisée par un réseau public. Les VPN peuvent connecter un seul ordinateur à un réseau privé (client-serveur) ou un réseau local (LAN) distant à un réseau privé (serveur-serveur). Les VPN incluent souvent l'utilisation de chiffrage, une authentification forte des utilisateurs ou hôtes distants et des méthodes pour cacher la topologie du réseau privé.
Debian fournit un nombre assez important de paquets pour mettre en place des réseaux privés virtuels chiffrés :
vtun
tunnelv
cipe
vpnd
tinc
secvpn
pptp
freeswan
IPsec (FreeSWAN) est probablement le meilleur choix dans l'ensemble étant donné qu'il promet d'être fonctionnel avec tout matériel supportant le protocole de sécurité d'IP, IPsec (RFC 2411). Mais, les autres paquets peuvent vous aider à obtenir un tunnel sécurisé rapidement. Le protocole de tunnel point à point (PPTP) est le protocole propriétaire Microsoft pour les VPN. Il est supporté sous Linux mais il est connu pour avoir de sérieux problèmes de sécurité.
Pour plus d'informations lire le VPN-Masquerade
HOWTO
(couvre IPsec et PPTP), le VPN HOWTO
(couvre PPP à travers SSH), le Cipe
mini-HOWTO
et le PPP and SSH
mini-HOWTO
.
Si vous désirez fournir un serveur de tunnel pour un environnement mixte (à la
fois pour les systèmes d'exploitations Microsoft et les clients Linux) et
qu'IPsec n'est pas une option (car il n'est fourni que pour Windows 2000 et
Windows XP), vous pouvez utilliser PoPToP (serveur de tunnel point à
point), fourni dans le paquet pptpd
.
Si vous voulez utiliser l'authentification et le chiffrage de Microsoft avec le
serveur fourni dans le paquet ppp
, veuillez noter la remarque
suivante de la FAQ :
Il est seulement nécessaire d'utiliser PPP 2.3.8 si vous voulez une athentification et un chiffrage compatible Microsoft MSCHAPv2/MPPE. La raison à cela est que le correctif MSCHAPv2/MPPE actuellement fourni (19990813) est relatif à PPP 2.3.8. Si vous n'avez pas besoin de l'authentification ou du chiffrage compatible Microsoft, tout source PPP 2.3.x fera l'affaire.
Vous devez cependant appliquer le correctif noyau fourni par le paquet
kernel-patch-mppe
qui fournit le module pp_mppe pour pppd.
Prenez également en compte que le chiffrag dans pptp vous force à stocker les
mots de passer utilisateur en clair et que le protocole MS-CHAPv2 contient des
failles
de sécurité connues
.
L'infrastructure de clé public (PKI) est une architecture de sécurité introduite pour fournir un niveau de confiance amélioré lors de l'échange d'informations sur des réseaux non sécurisés. Elle utilise le concept de clés publics et privés de chiffrage pour vérifier l'identité de l'expéditeur (signature) et pour garantir la confidentialité (chiffrage).
Lorsque vous vous intéressez aux PKI, vous vous trouvez confronté à une grande variété d'outils :
Debian GNU/Linux contient des paquets logiciels pour vous aider à résoudre ces
problèmes de PKI. Cela inclut Openssl
(pour la génération de
certificats), OpenLDAP
(comme répertoire pour maintenir les
certificats), gnupg
et freeswan
(avec le support
standard X.509). Cependant, le système d'exploitation ne fournit pas (comme
dans la version Woody, Debian 3.0) d'autorité de délivrance de certificat
librement disponible comme pyCA, OpenCA
ou les exemples CA d'OpenSSL.
Pour plus d'information, reportez-vous au livre Open PKI
.
Debian fournit quelques certificats SSL avec la distribution pour qu'ils
puissent être installés localement. Ils sont disponibles dans le paquet
ca-certificates
. Ce paquet fournit un dépôt central des
certificats qui ont été soumis à Debian et approuvé (c.-à-d. vérifiés) par le
responsable du paquet, cela est utile pour toutes les applications OpenSSL qui
vérifient des connexion SSL.
FIXME: lire debian-devel pour voir s'il y a quelque chose à ajouter à cela.
Il n'y a pas beaucoup d'outils antivirus dans Debian GNU/Linux, probablement car les utilisateurs de GNU/Linux ne sont pas submergés réellement par les virus. Le modèle de sécurité UN*X fait une distinction entre les processus privilégiés (root) et les processus appartenant aux utilisateurs, c'est pourquoi un exécutable « hostile » reçu ou créé par un utilisateur et ensuite exécuté par celui-ci ne peut pas « infecter » ou manipuler de tout autre manière le système entier. Il y a eu, toutefois, des vers et virus pour GNU/Linux même s'il n'y pas (encore) eu de virus qui se soient étendus sur les distributions Debian. Dans tous les cas, les administrateurs peuvent vouloir de mettre en place des passerelles antivirus pour se protéger contre les virus affectant d'autres systèmes plus vulnérables dans leur réseau.
Debian GNU/Linux fournit à l'heure actuelle les outils suivants pour mettre en place des environnements antivirus :
sanitizer
, un
outil qui utilise le paquet procmail
qui peut filtrer les
attachements de courrier, bloquer les attachements selon leurs noms de fichier
et plus.
amavis-postfix
, un
script qui fournit une interface depuis un MTA vers un ou plusieurs scanners
commerciaux de virus (ce paquet est seulement construit pour le MTA
postfix
).
scannerdaemon
, un démon écrit en Java qui accepte les connexions
entrantes pour scanner les fichiers pour les virus.
Comme vous pouvez le voir, Debian ne fournit pas à l'heure actuelle un logiciel antivirus. Il existe, toutefois, des projets de logiciels antivirus qui pourront dans le futur être inclus dans des versions de Debian :
Amavis Next
Generation
, un scanner de virus de courrier qui s'intègre à votre
MTA et supporte plusieurs moteurs de scan de virus (voir Bug #154294
).
Il y a également un paquet virussignatures
package, qui fournit
des signatures pour tous les paquets, ce paquet fournit un script qui
télécharge les dernières signatures de virus depuis http://www.openantivirus.org/latest.php
.
FIXME: Vérifier pour déterminer quels paquets sont disponibles comme antivirus. Est-ce que clamav est disponible ? (il semble y avoir des paquets Debian).
FIXME: Vérifier si scannerdaemon est le même que le démon scanner antivirus open (lire les ITPs).
Cependant, Debian ne fournira jamais des logiciels antivirus
commerciaux tels que : Panda
Antivirus
, NAI
Netshield (uvscan)
, Sophos
Sweep
, TrendMicro
Interscan
ou RAV
. Pour plus d'infos, voir la
mini-FAQ
logiciels antivirus pour Linux
. Cela ne veut pas dire que ces
logiciels ne peuvent pas être installés correctement sur un système Debian.
Pour plus d'informations sur la façon de mettre en place un système de
détection des virus, veuillez lire l'article de Dave Jones Construire un système
de détection des virus des courriels pour votre réseau
.
Il est très courant de nos jours de signer numériquement (et parfois de chiffrer) des courriels. Vous pouvez, par exemple, trouver que de nombreuses personnes participant sur des listes de diffusion signent leur courriel de la liste. Les signatures de clé public sont actuellement le seul moyen de vérifier qu'un courriel a été envoyé par l'expéditeur et non par une autre personne.
Debian GNU/Linux fournit un certain nombre de clients de messagerie avec des
fonctionnalité de signature de courriels intégrés qui interagissent soit avec
gnupg
ou avec pgp
:
Evolution
,
mutt
,
kmail
,
sylpheed
. Selon la façon dont évolue la version stable de ce
paquet, vous pouvez avoir besoin d'utilise la version dernier cri,
sylpheed-claws
.
gnus
, qui, lorsqu'il est installé avec le paquet
mailcrypt
, est une interface emacs
à
gnupg
.
kuvert
, qui fournit cette fonctionnalité indépendamment de votre
client de messagerie choisi en interagissant avec l'agent de transport de
courrier (MTA).
Les serveurs de clé vous permettent de télécharger des clés publiques publiées
pour pouvoir vérifier des signatures. Un tel serveur est http://wwwkeys.pgp.net
.
gnupg
peut récupérer automatiquement des clés publics qui ne sont
pas déjà dans votre porte-clés (keyring) public. Par exemple, pour configurer
gnupg
pour utiliser le serveur de clés ci-dessus, éditez le
fichier ~/.gnupg/options
et ajoutez la ligne suivante : [27]
keyserver wwwkeys.pgp.net
La plupart des serveurs de clés sont liés afin que, quand votre clé publique
est ajoutée à un serveur, l'addition soit propagée à tous les autres serveurs
de clés publiques. Il existe également un paquet Debian GNU/Linux
debian-keyring
fournissant les clés publiques des développeurs
Debian. Les portes-clés gnupg
sont installés dans
/usr/share/keyrings/
.
Pour plus d'informations :
Manuel de sécurisation de Debian
2.95 31 mayo 2004Vendredi 4 juillet 2003 23:13:42 +0100jfs@computer.org