SÉCURITÉ DU RÉSEAU

_____________________________________________________________________

2011 1 Table des matières 1 SÉCURITÉ DU RÉSEAU TCP/IP ..................................................

2 1.1 But de TCP Wrappers ..........................................................................................

2 1.1.1 Avantages de TCP wrappers.........................................................................

2 1.2 Listes de contrôle d'accès basé sur l'hôte .............................................................

2 1.2.1 Ecriture des règles.........................................................................................

3 1.3 Contrôle d'accès à l'aide de xinetd .......................................................................

5 1.3.1 Fichiers de configuration de xinetd ..........................................................

5 1.3.2 Contrôle d'accès dans xinetd ....................................................................

7 1.3.3 Liaison et réacheminement de port...............................................................

9 _____________________________________________________________________ 2011 2 1 SÉCURITÉ DU RÉSEAU TCP/IP Le contrôle d'accès aux réseaux peut se révéler une opération complexe. Les pare-feu servent à contrôler les accès depuis et vers un réseau donné, mais leur configuration est parfois difficile. TCP Wrappers et xinetd contrôlent les accès à l'aide du nom d'hôte et de l'adresse IP. De plus, ces outils comprennent des fonctions de journalisation et de gestion simple à configurer. 1.1 But de TCP Wrappers Un nombre important de services réseau (ssh, telnet et ftp par exemple) utilise TCP wrappers qui vient s'interfacer entre les demandes d'accès à un service et le service même. Le concept à la base de TCP wrappers est de "regrouper" des demandes d'accès du client aux applications serveur à l'aide d'un service de vérification. 1.1.1 Avantages de TCP wrappers Lorsqu'un utilisateur cherche à se connecter à un serveur où est installé TCP wrappers, le "wrapper" établit un rapport détaillant le nom du service demandé et les informations concernant l'hôte client. Une fois les conditions de contrôle d'accès satisfaites, il est déchargé et libère toutes les ressources qui lui sont associées. Les avantages de TCP Wrappers par rapport aux méthodes traditionnelles de contrôle sont doubles : Le client qui se connecte n'est pas au courant de sa présence. Les utilisateurs habilités ne perçoivent aucune différence et les malintentionnés ne reçoivent aucune information quant au pourquoi du refus d'accès. TCP Wrappers est indépendant des applications en cours qu'il a pour but de protéger. 1.2 Listes de contrôle d'accès basé sur l'hôte Les accès aux services basés sur le nom d'hôte qui utilisent TCP Wrappers dépendent de deux fichiers : hosts.allow et hosts.deny. Ces fichiers, situés dans le répertoire /etc, font appel à une méthode simple de contrôle de l'accès de certains systèmes ou usagers aux services d'un serveur. La règle par défaut consiste à autoriser tous les accès aux services si aucune règle n'est spécifiée dans les fichiers hosts.allow ou hosts.deny. Cependant, les règles contenues dans hosts.allow ont la priorité par rapport à celles qui se trouvent dans hosts.deny. Même si une règle interdit tout accès à un service donné dans le fichier hosts.deny, les hôtes autorisés à y accéder selon le fichier hosts.allow seront autorisés à se connecter au service en question. Les règles définies dans ces deux _____________________________________________________________________ 2011

3 fichiers sont prises en compte dans l'ordre à partir du sommet, ce qui implique une certaine rigueur dans leur écriture. 1.2.1 Ecriture des règles Toutes les règles de contrôle d'accès sont définies dans les fichiers hosts.allow et hosts.deny. Chaque ligne vide ou commençant par le symbole de commentaire (#) n'est pas prise en compte. Chaque règle doit être écrite sur une ligne séparée. Les règles ont le format suivant : : [: spawn ] Chacune de ces options fait référence à une portion différente de la règle : liste_demons Ensemble d'un ou plusieurs noms de processus ou de caractères spéciaux, séparés par un espace. liste_clients Un ou plusieurs noms d'hôte, adresses hôte, motifs ou caractères spéciaux, séparés par un espace, à utiliser lorsqu'un nom de processus correspond à un service demandé. commande_shell Commande optionnelle qui précise ce qui doit être fait lorsqu'une règle est utilisée. Si votre liste de noms d'hôte pouvant accéder à un service est trop longue ou difficile à contrôler à l'intérieur de hosts.allow ou hosts.deny, il est alors possible d'indiquer le chemin d'accès complet vers un fichier, tel que /etc/telnet.hosts.deny. Ce fichier doit contenir les différents noms d'hôte, adresses hôte ou motifs, séparés par un espace, qui sont autorisés ou non à accéder à ce service. Cette méthode peut être utilisée également de façon efficace pour partager des listes de contrôle d'accès entre différents services, en permettant les changements des paramètres dans un fichier. Les mots ou caractères spéciaux suivants peuvent être utilisés dans les règles de contrôle d'accès à la place d'hôtes ou de groupes d'hôtes spécifiques : ALL Correspond à chaque client lié à ce service précis ou même chaque service utilisant le contrôle d'accès. ALL est aussi applicable aux démons. LOCAL Correspond à tous les hôtes sans le symbole ".". KNOWN Correspond à tous les hôtes dont le nom d'hôte, l'adresse hôte où l'utilisateur est connu. UNKNOWN Correspond à tous les hôtes dont le nom d'hôte, l'adresse hôte où l'utilisateur est inconnu. PARANOID Correspond à tout hôte dont le nom ne correspond pas à l'adresse. _____________________________________________________________________ 2011

4 Lorsque EXCEPT est utilisé entre deux listes, la première s'applique sauf s'il y a correspondance avec un paramètre de la

...