S écurité et A dministration des S ystèmes I nformatiques Administration réseau Fabrice Legond-Aubry [email protected] 22F66a//00b99r//22i00c00e55 Legond-Aubry LLEEGGOOMoNNdDDu FFlaaebb rrSiiccAeeSI 1 11 Les ressources WEB ● Adresses web: – www.ietf.org (Request For Comments - RFC) – www.iana.org, www.ripe.org (IP) – deptinfo.cnam.fr (cours réseaux) – www.linux-france.org/article/index.html (intro) – www.linux-france.org/prj/inetdoc (doc architecture réseau) n o i – www.developpez.com (programmation & réseau) t c u ● Livres: d o – R. Stevens, « Unix network programming », Prentice Hall, 1990 r t n – J-M. Rifflet et J-B. Yunès, « Unix : programmation et communication », I Dunod – A. S. Tannenbaum, « Computer Networks », Prentice Hall. – W.R. Stevens, « TCIP/IP Illustrated, The protocols » , Addison Wesley – L. Toutain, « Réseaux locaux et Internet », Hermès 22F66a//00b99r//22i00c00e55 Legond-Aubry LLEEGGOOMoNNdDDu FFlaaebb rrSiiccAeeSI 2 22 Vocabulaire ● Attaque Réseau TCP/IP – Spoofing : Forger un message réseau faux et/ou malformé – Flooding : Inondation en vu de saturer une machine n – Smurfing : Equivalent du flooding mais sur tout un réseau o i – Hijacking : Détournement d’un connexion t c u – Sniffing : Ecoute des communications en vu d’obtenir des informations d o – Replay : Le rejeu r t n – Denial Of Service : Déni de service I 22F66a//00b99r//22i00c00e55 Legond-Aubry LLEEGGOOMoNNdDDu FFlaaebb rrSiiccAeeSI 3 33 Les problèmes de sécurité dans la pratique ● Internet n’a pas été conçu avec un objectif de sécurité – Internet est basé sur la confiance – Chaque niveau traversé par vos données offre des moyens d’attaques ● Internet est né avec les unix n o ti – il n'y a pas un UNIX mais une multitude d'implémentations c u différentes qui présentent toutes des caractéristiques propres d o ● r Il existe de nombreux problèmes de sécurité dans la plus t n I part des systèmes informatiques actuels. ● Au niveau physique et liaison (ethernet) – Sniffers qui écoute le réseau 22F66a//00b99r//22i00c00e55 Legond-Aubry LLEEGGOOMoNNdDDu FFlaaebb rrSiiccAeeSI 4 44 Les problèmes de sécurité dans la pratique ● Au niveau réseau (IP) – IP Spoofing et Smurfing ● Au niveau transport (TCP) – SYN Flooding n o – Au niveau applicatif (service réseau) i t c u – Déni de services (Deny of Services) d o r t – Buffer Overflows n I ● Attaque au niveau des services ● Attaque au niveau des personnes 22F66a//00b99r//22i00c00e55 Legond-Aubry LLEEGGOOMoNNdDDu FFlaaebb rrSiiccAeeSI 5 55 Section : « Administration réseau » Les bases du réseau Couche liaison et Routage IP u a Attaques sur les couches basses e s Couche Transport : TCP/UDP é r u Configuration réseau d s Outils réseau e s a DHCP b s DNS e L Parefeu – NAT - SSL/TLS IDS et Analyse 22F66a//00b99r//22i00c00e55 Legond-Aubry LLEEGGOOMoNNdDDu FFlaaebb rrSiiccAeeSI 6 66 De la nécessité du réseau ! ● 90% des services linux sont basés sur le réseau ● Vous vivez dans un monde interconnecté !!! ● Revoir vos cours de réseau !!!! u a ● e Toute machine « Linux » a au moins un réseau: s é le réseau virtuel local « loopback » r u ● d Une machine peut être connectée à plusieurs réseaux s e ● Il faut connaître les notions de réseaux pour s a b – Définir l’architecture d’un parc de machines s e L – Les interactions entres machines – Déployer, configurer, SECURISER un service 22F66a//00b99r//22i00c00e55 Legond-Aubry LLEEGGOOMoNNdDDu FFlaaebb rrSiiccAeeSI 7 77 Pile TCP/IP Couche 5-7 : application Services linux u Couche 4 : transport TCP/UDP a e s (gestion des connexions) (désignation d’un processus) é r u d Couche 3 : réseau IP s e (routage) (désignation d’une machine) s a b Couches 1-2 : physique, liaison s e L Ethernet , ATM, … (transfert entre 2 machines reliés par une voie physique) 22F66a//00b99r//22i00c00e55 Legond-Aubry LLEEGGOOMoNNdDDu FFlaaebb rrSiiccAeeSI 8 88 Relations entre les différents protocoles TCP UDP Couche u a transport e s é r u IGMP IP ICMP d s Couche e s réseau a b ARP RARP s e L Couche Ethernet liaison 22F66a//00b99r//22i00c00e55 Legond-Aubry LLEEGGOOMoNNdDDu FFlaaebb rrSiiccAeeSI 9 99 Gestionnaires des adresses IP ● Attribution par des organismes spéciaux : – IANA (www.iana.org et www.icann.org) centralise les affectations u – RIPE (www.ripe.net) s’occupe des adresses européennes a e s – AfriNIC (www.afrinic.net) s’occupe des adresses é r africaines u d – APNIC (www.apnic.net) s’occupe des adresses s e s asiatiques et pacifiques a b – ARIN (www.arin.net) s’occupe des adresses de s e l’Amérique du nord L – LACNIC (lacnic.net/en/index.html) s’occupe des adresses de l’Amérique latine et des Caraïbes 22F66a//00b99r//22i00c00e55 Legond-Aubry LLEEGGOOMoNNdDDu FFlaaebb rrSiiccAeeSI 10 1100 Notion de classe d’adresses IPv4 ● Permet le routage et l’acheminement des données sur l’ensemble de l’internet ● IP permet de désigner une machine ● Notion de classes d’adresses (besoin de connaître le binaire !!!) u a e 7 bits 24 bits s Classe A 0 network host é r u 14 bits 16 bits d Classe B 10 network host s e s 21 bits 8 bits a Classe C 110 network host b s e 28 bits L Classe D 1110 host 28 bits Classe E 1111 host 22F66a//00b99r//22i00c00e55 Legond-Aubry LLEEGGOOMoNNdDDu FFlaaebb rrSiiccAeeSI 11 1111 Nombres de réseaux par classe ● Classe A : 126 (27-2) réseaux possibles de 16 777 214 (224-2) machines u ● a Classe B : 16 382 (214-2) réseaux possibles de 65 534 e s (216-2) machines é r u ● Classe C : 2 097 150 (221-2) réseaux possibles de 254 d s (28-2) machines e s a ● Classe D : adresses de diffusion (multicast) b s e ● Classe E : adresses réservées pour des usages futurs L 22F66a//00b99r//22i00c00e55 Legond-Aubry LLEEGGOOMoNNdDDu FFlaaebb rrSiiccAeeSI 12 1122 Réseaux non routables ● Ce sont des réseaux qui ne seront jamais attribués à une entité ● Ils ne sont pas routable sur internet u a ● Ils sont réservés à un usage privé / interne : e s é r – 1 réseau de classe A : 10.0.0.0 u d – 15 réseaux de classe B : 172.16.0.0 - 172.31.0.0 s e s – 255 réseaux de classe C : 192.168.0.0 - 192.168.255.0 a b ● s Aucun datagramme IP venant de l’extérieur ne doit e L porter ces adresses. 22F66a//00b99r//22i00c00e55 Legond-Aubry LLEEGGOOMoNNdDDu FFlaaebb rrSiiccAeeSI 13 1133 Les informations réseaux ● Une machine ayant l’IP : 193.22.143.52 ✔Adresse de classe C (193 commence par 110 en binaire) ✔24 bits pour le réseau (network @) u ✔8 bits pour la machine (host @) a ● e Adresses particulières pour les réseaux de classes A,B,C s é r – L’adresse « réseau » : Tous les bits d’adresse host à 0 u d ✔Exemple: 192.22.143.0 s e – L’adresse de diffusion (broadcast) à tout le sous-réseau : s a Tous les bits d’adresse host à 1 b s e ✔Exemple: 193.22.143.255 L – Le masque de sous réseau: Tous les bits d’adresse host à 0, tous les bits d’adresse réseau à 1 ✔Exemple: 255.255.255.0 22F66a//00b99r//22i00c00e55 Legond-Aubry LLEEGGOOMoNNdDDu FFlaaebb rrSiiccAeeSI 14 1144 Masque de réseau ● Le masque de réseau – Permet de séparer la partie réseau de la partie machine. – Possibilité de créer des sous-réseaux u a ● e Exemples s Réseau LIP6, notations : ● é r u – Masque: 255.255.0.0 d 132.227.64.15 s – @ réseau: 132.227.0.0 e s a – @ diffusion: 132.227.255.255 Classe B (10) b s Partie machine ● Sous-réseau SRC, notations : e Partie réseau L – Masque: 255.255.255.0 – @ réseau: 132.227.64.0 – @ diffusion: 132.227.64.255 22F66a//00b99r//22i00c00e55 Legond-Aubry LLEEGGOOMoNNdDDu FFlaaebb rrSiiccAeeSI 15 1155 Saturation de l'espace d'adressage IPv4 ● Pourquoi? ✔Trop d'adresses distribuées par rapport au besoins (inutilisation) ✔Pas de redistribution de la classe E, et des classes A? u ✔Sans doute 50% des adresses distribuées ne servent pas! a e ✔Agrégation des classes C (cid:1) gonflement des tables de routages s é ● IPv6 : un espace d 'adressage beaucoup plus grand r u d ✔128 bits soit 16 octets au lieu de 32 bits soit 4 octets s e ✔A priori 3,9 * 1018 adresses par mètre carré de surface terrestre s a ✔Si l'on utilise très mal les adresses disponibles (comme dans le b (cid:1) téléphone) 1500 adresses par mètre carré s e ● Autres solutions ? L ✔Les réseaux brûlés avec translation d'adresse (NAT) ? ✔CIDR (Classless Inter-Domain Routing) 22F66a//00b99r//22i00c00e55 Legond-Aubry LLEEGGOOMoNNdDDu FFlaaebb rrSiiccAeeSI 16 1166 CIDR une solution en attendant IPv6 ● Abandon de la notion de classe ● On définit les réseaux suivant les besoins ● Notation CIDR: adresse/préfixe (RFC: 1517, 1518, 1519, 1520) ● Pour construire un réseau de 2000 machines u – Il faut 8 réseaux de classe C (/24) de 254 machines soit 2036 machines a – Il faut 1 réseau de classe B (/16) de 65534 machines e s – Il faut 1 réseau CIDR /21 qui permet de déclarer 2046 machines (2^11-2) é r ● On agrège ainsi les réseaux pour une même entreprise u d – Par exemple, on peut agréger 2 réseaux de classes C (/24) en un réseau /23 e s ● A la place de 3 classes, on utilise un préfixe : a b a ”préfixe” bits 32-“préfixe” bits L Classe “préfixe” network host 21 bits 11 bits Classe /21 network host 22F66a//00b99r//22i00c00e55 Legond-Aubry LLEEGGOOMoNNdDDu FFlaaebb rrSiiccAeeSI 17 1177 Section : « Administration réseau » Les bases du réseau n o Routage IP et couche liaison s i a i Attaques sur les couches basses l e h Couche Transport : TCP/UDP c u o Configuration réseau c t Outils réseau e P DHCP I e g DNS a t u Parefeu – NAT - SSL/TLS o R IDS et Analyse 22F66a//00b99r//22i00c00e55 Legond-Aubry LLEEGGOOMoNNdDDu FFlaaebb rrSiiccAeeSI 18 1188 Algorithmes de routage IP ● Routage sur un routeur (algorithme) – Recherche d'une destination correspondant à celle visée. n o – Recherche d'une entrée réseau où se trouverait le site visé s i a (le plus proche). i l e – Recherche d'une entrée de type défaut. h c u ● Algorithmes de routage IP: OSPF, RIPv2, … o c ● t Routage à partir d’une machine e P I – Si le site à atteindre est connecté directement au site e g courant (par une liaison point à point ou en réseau local) a (cid:1) t le message est envoyé directement. u o R – Sinon l'hôte dispose d'un routeur par défaut à qui il envoie tous les datagrammes qu'il ne peut acheminer. 22F66a//00b99r//22i00c00e55 Legond-Aubry LLEEGGOOMoNNdDDu FFlaaebb rrSiiccAeeSI 19 1199 Exemple: routage IP sur une machine ● Gateway: la route par défaut (default route) – Définit où envoyer tous les paquets qui ne sont pas destinés au n réseau local o s ai switch switch i l e h Internet c Router u o c t legond@hebe > netstat -r e Kernel IP routing table P Destination Gateway Genmask Flags MSS Window irtt Iface I 132.227.64.0 * 255.255.255.0 U 0 0 0 eth0 e 127.0.0.0 * 255.0.0.0 U 0 0 0 lo g default castor 0.0.0.0 UG 0 0 0 eth0 a t u ● Ligne 1 : L'accès au réseau local (ethernet) de l'hôte o R ● Ligne 2 : La boucle locale (loopback) pour les messages qui ne sortent pas du site ● Ligne 3 : L'accès à un routeur par défaut qui permet de passer sur l'internet 22F66a//00b99r//22i00c00e55 Legond-Aubry LLEEGGOOMoNNdDDu FFlaaebb rrSiiccAeeSI 20 2200