Voici quelques recommandations assez simples à appliquer pour sécuriser la couche réseau TCP/IP et pour vérifier que les services inutiles sont bien désactivés.

Sécurisation TCP/IP

Toutes les modifications s’effectuent dans le fichier /etc/sysctl.conf.

Smurf Attack – ICMP broadcast

Pour se protéger des attaques de type « Smurfing » :

net.ipv4.icmp_echo_ignore_broadcasts = 1

ICMP redirects

Les paquets ICMP redirects doivent permettre d’indiquer qu’une meilleure route est disponible sur le réseau. Votre hébergeur doit avoir un réseau suffisamment bien configuré pour que ces requêtes soient inutiles. Par contre, un attaquant pourrait injecter de mauvaises routes dans votre table de routage avec ce paramétrage activé. Voici donc les paramètres à modifier :

net.ipv4.conf.all.accept_redirects = 0
net.ipv6.conf.all.accept_redirects = 0
net.ipv4.conf.all.send_redirects = 0
net.ipv6.conf.all.send_redirects = 0

IP source routing

Cela permet de préciser le routage à l’intérieur même des paquets. Ca ne sert à rien à part aux attaquants, il faut donc absolument désactiver cette fonction :

net.ipv4.conf.all.accept_source_route = 0
net.ipv6.conf.all.accept_source_route = 0

Spoofing

Pour filtrer les paquets avec des adresses IP sources ou de destinations qui ne sont pas cohérentes par rapport à l’interface réseau par laquelle ils sont arrivés, activer les options suivantes :

net.ipv4.conf.default.rp_filter = 1
net.ipv4.conf.all.rp_filter = 1

Logguer les martiens

Un paquet « martien » est un paquet pour lequel le serveur n’a pas de route retour vers l’adresse source. Le paramètre ci-dessous permet de logguer ces paquets ainsi que les paquets des sections « IP Source Routing » et « Spoofing » ci-dessus :

net.ipv4.conf.all.log_martians = 1

SYN protection

Pour se protéger des attaques de type SYN Flood, ajouter les lignes suivantes :

net.ipv4.tcp_syncookies = 1
net.ipv4.tcp_max_syn_backlog = 1024

Bogus ICMP

Les paquets ICMP mal formés sont loggués par défaut. Un attaquant peut provoquer un déni de service en remplissant les fichiers de logs. Désactiver ces logs comme ceci :

net.ipv4.icmp_ignore_bogus_error_responses = 1

Les autres paramètres du fichier doivent être corrects par défaut.

Source.

Bonus : désactivation autoconf IPV6

Si vous avez dans vos logs /var/log/kern.log des messages du type kernel: IPv6 addrconf: prefix with wrong length 56, ajouter les lignes suivantes toujours dans le fichier /etc/sysctl.conf :

net.ipv6.conf.all.autoconf = 0
net.ipv6.conf.default.autoconf = 0
net.ipv6.conf.eth0.autoconf = 0

Ce problème peut se produire chez OVH par exemple qui a une configuration assez particulière de l’IPv6.

Source.

Prendre en compte les modifications

Pour prendre en compte les modifications, taper la commande suivante :

sysctl -n -e -q -p /etc/sysctl.conf

Suppression des services et packages inutiles

La plupart des services ci-dessous doivent déjà être désactivés sur les distributions récentes, mais ça ne coûte pas cher de vérifier :

update-inetd --remove daytime
update-inetd --remove telnet
update-inetd --remove time
update-inetd --remove finger
update-inetd --remove talk
update-inetd --remove ntalk
update-inetd --remove ftp
update-inetd --remove discard
 
update-rc.d -f inetd remove
update-rc.d -f ppp remove
update-rc.d -f atd remove

Quelques droits à positionner

Voici quelques droits à vérifier sur les binaires permettant d’installer ou de compiler des paquets, cette liste pourrait sûrement s’agrandir :

chmod o-x /usr/bin/make
chmod o-x /usr/bin/apt-get
chmod o-x /usr/bin/dpkg

Suite au prochain épisode!

Navigation<< Sécurisation du serveur SSHBash – paramétrage du shell >>

 


 

4 réponses pour "Sécurisation serveur – réseau et services"

  1. Destructor  Surfe sur Internet Explorer Internet Explorer 8.0 avec Windows Windows 7
    28 janvier 2011 @ 9:40
    1

    Papy, moi quand je vais dans le terminal et que j’essaye de suivre ce que tu fais il me demande un mot de passe pour entrer une commande, mais quand j’écris me mot de passe dans le terminal sa reste blanc je fais ‘enter’ et il me dit Mot de passe érroné HELP :( Ps: je viens tout les jours!

  2. yuyu  Surfe sur Mozilla Firefox Mozilla Firefox 3.6.13 avec Windows Windows 7
    28 janvier 2011 @ 18:53
    2

    @Destructor : on s’en fout de savoir que tu viens tous les jours… il n’y a pas des nouvelles tous les jours ici, donc à part tenter de nous pipeauter pour nous amadouer dans le but d’avoir une réponse, je ne vois pas à quoi cette précision peut servir. Sinon pour ta question, tu n’auras jamais de réponse en l’état… Le mieux serait que tu réinstalle Windows et que tu retournes jouer à cromimi.

  3. Destructor  Surfe sur Mozilla Firefox Mozilla Firefox 3.6.11 avec Ubuntu Linux Ubuntu Linux
    28 janvier 2011 @ 22:35
    3

    Woah d’où tu t’énerve mon coco ?!
    Je sais pas t’est en manque de quelque chose, et tu aime te défouler sur les gens que tu ne connais pas?
    J’ai résolu mon problème et franchement tu doit être un put** de gamin toi non?
    Allez va jouer à Habbo mon coco, au faite vole pas la carte bancaire de tes parents ;)

  4. Astral God  Surfe sur Mozilla Firefox Mozilla Firefox 3.6.13 avec Windows Windows 7
    30 janvier 2011 @ 20:45
    4

    Bonjour à tous, et merci pour ce futur tutoriel.

    @Destructor: A quelle étape bloques tu précisément ? Quel est ton système source et serveur ?

PapyGeek a pas besoin de bip pour ouvrir son parking, il le siffle. +