Outils pour utilisateurs
controleintegrite
Différences
Ci-dessous, les différences entre deux révisions de la page.
| Les deux révisions précédentes Révision précédente Prochaine révision | Révision précédente | ||
|
controleintegrite [2009/09/08 16:00] root |
controleintegrite [2012/02/05 16:43] (Version actuelle) |
||
|---|---|---|---|
| Ligne 1: | Ligne 1: | ||
| + | ====== le controle d'integrite ====== | ||
| + | |||
| + | |||
| cette page a été faite pour une conférence sur la sécurité au [[http://www.culte.org/ | culte]] le samedi 9 avril 2005. Elle est sous licence LGPL voir le site [[http://www.gnu.org]] pour plus de renseignements | cette page a été faite pour une conférence sur la sécurité au [[http://www.culte.org/ | culte]] le samedi 9 avril 2005. Elle est sous licence LGPL voir le site [[http://www.gnu.org]] pour plus de renseignements | ||
| Vous pouvez redistribuer et modifier ce document selon les termes de la Licence Publique Générale GNU (LGPL) version 2 ou toute autre version ultérieure | Vous pouvez redistribuer et modifier ce document selon les termes de la Licence Publique Générale GNU (LGPL) version 2 ou toute autre version ultérieure | ||
| - | ====== rappels sur la sécurité informatique ====== | + | ===== rappels sur la sécurité informatique ===== |
| Je vais essayer d'illustrer les différents composants de la sécurité informatique par comparaison avec ceux d'une maison : | Je vais essayer d'illustrer les différents composants de la sécurité informatique par comparaison avec ceux d'une maison : | ||
| - | ===== défense passive ===== | + | ==== défense passive ==== |
| ^ maison ^ ordinateur ^ | ^ maison ^ ordinateur ^ | ||
| Ligne 14: | Ligne 18: | ||
| - | ===== défense active ===== | + | ==== défense active ==== |
| ^ maison ^ ordinateur ^ | ^ maison ^ ordinateur ^ | ||
| Ligne 21: | Ligne 25: | ||
| ids = Intrusion Detection System (en français : système de détection d'intrusion) | ids = Intrusion Detection System (en français : système de détection d'intrusion) | ||
| - | ===== analyse ===== | + | ==== analyse ==== |
| ^ maison ^ ordinateur ^ | ^ maison ^ ordinateur ^ | ||
| | inventaire,empreintes | analyse des logs,contrôle d'intégrité | | | inventaire,empreintes | analyse des logs,contrôle d'intégrité | | ||
| - | ====== généralités sur le contrôle d'intégrité ====== | + | ===== généralités sur le contrôle d'intégrité ===== |
| - | ===== son but ===== | + | ==== son but ==== |
| Le but est de connaître ce qui a été modifié sur une machine, ce qui va permettre de : | Le but est de connaître ce qui a été modifié sur une machine, ce qui va permettre de : | ||
| Ligne 36: | Ligne 40: | ||
| * faire des rapports d'installation : pour savoir ce qu'un logiciel installe exactement | * faire des rapports d'installation : pour savoir ce qu'un logiciel installe exactement | ||
| - | ===== que surveiller ===== | + | ==== que surveiller ==== |
| Les propriétés des fichiers : | Les propriétés des fichiers : | ||
| Ligne 46: | Ligne 50: | ||
| * checksum (md5, sha1) : à calculer pour détecter des modifications | * checksum (md5, sha1) : à calculer pour détecter des modifications | ||
| - | ===== comment ça marche ===== | + | ==== comment ça marche ==== |
| Le logiciel travaille par comparaison avec un état précédant, un peu comme le jeu des 7 erreurs entre 2 photos. Il stocke cet état dans une base de donnée. | Le logiciel travaille par comparaison avec un état précédant, un peu comme le jeu des 7 erreurs entre 2 photos. Il stocke cet état dans une base de donnée. | ||
| - | ===== préconisation ===== | + | ==== préconisation ==== |
| Lancement régulier du logiciel. La meilleure solution est un lancement journalier par cron. | Lancement régulier du logiciel. La meilleure solution est un lancement journalier par cron. | ||
| - | ===== remarque ===== | + | ==== remarque ==== |
| Le système de package [[http://www.rpm.org | rpm]] offre un système équivalent pour | Le système de package [[http://www.rpm.org | rpm]] offre un système équivalent pour | ||
| Ligne 63: | Ligne 67: | ||
| mais il ne détecteras pas un nouveau fichier installé sans rpm. | mais il ne détecteras pas un nouveau fichier installé sans rpm. | ||
| - | ====== Les limites du contrôle d'intégrité ====== | + | ===== Les limites du contrôle d'intégrité ===== |
| - | ===== la configuration ===== | + | ==== la configuration ==== |
| Des fichiers sont modifiés en permanence, pour ne pas être submergé de fausses alarmes, on ne peut pas surveiller tous les fichiers, ni tous les paramètres. Il y a donc un travail important de configuration initiale. | Des fichiers sont modifiés en permanence, pour ne pas être submergé de fausses alarmes, on ne peut pas surveiller tous les fichiers, ni tous les paramètres. Il y a donc un travail important de configuration initiale. | ||
| - | ===== l'état initial ===== | + | ==== l'état initial ==== |
| Après la configuration, il faut fabriquer le premier "état". Il faut que celui-ci soit absolument sûr (machine non infectée), puisque on va se baser dessus. | Après la configuration, il faut fabriquer le premier "état". Il faut que celui-ci soit absolument sûr (machine non infectée), puisque on va se baser dessus. | ||
| - | ===== les mises à jour ===== | + | ==== les mises à jour ==== |
| Une des préconisation de la sécurité informatique, c'est de mettre régulièrement sa machine à jour avec les correctifs de sécurité logiciels : | Une des préconisation de la sécurité informatique, c'est de mettre régulièrement sa machine à jour avec les correctifs de sécurité logiciels : | ||
| Ligne 81: | Ligne 85: | ||
| * il faut pouvoir mettre à jour la base de données du controle d'intégrité | * il faut pouvoir mettre à jour la base de données du controle d'intégrité | ||
| - | ===== intrusion "forte" ===== | + | ==== intrusion "forte" ==== |
| lors d'une intrusion, l'attaquant va chercher a camoufler ses traces (logs , ...). | lors d'une intrusion, l'attaquant va chercher a camoufler ses traces (logs , ...). | ||
| l'attaquant peut aussi chercher si des logiciels d'intrusions sont installés et tenter de modifier leur fonctionnement : | l'attaquant peut aussi chercher si des logiciels d'intrusions sont installés et tenter de modifier leur fonctionnement : | ||
| - | ==== base attaquée ==== | + | === base attaquée === |
| il peut essayer de modifier la base de référence, afin que la comparaison ne montre rien. | il peut essayer de modifier la base de référence, afin que la comparaison ne montre rien. | ||
| Ligne 94: | Ligne 98: | ||
| * base de référence sur un support en lecture seule, ou externe, montée seulement pour les comparaisons | * base de référence sur un support en lecture seule, ou externe, montée seulement pour les comparaisons | ||
| - | ==== logiciel attaqué ==== | + | === logiciel attaqué === |
| il peut modifier le logiciel lui-même. | il peut modifier le logiciel lui-même. | ||
| Ligne 102: | Ligne 106: | ||
| * logiciel sur un support externe amovible | * logiciel sur un support externe amovible | ||
| - | ==== noyau attaqué ==== | + | === noyau attaqué === |
| il peut modifier le système d'exploitation : libc, module noyau ... | il peut modifier le système d'exploitation : libc, module noyau ... | ||
| Ligne 111: | Ligne 115: | ||
| tous ces problèmes militent pour un lancement manuel, en plus du lancement par cron. | tous ces problèmes militent pour un lancement manuel, en plus du lancement par cron. | ||
| - | ====== Panorama des logiciels existants ====== | + | ===== Panorama des logiciels existants ===== |
| Il y a maintenant un panorama très étendu d'outils : | Il y a maintenant un panorama très étendu d'outils : | ||
| Ligne 118: | Ligne 122: | ||
| * [[http://www.cs.tut.fi/~rammer/aide.html|aide]] : un clone de tripwire, écrit en C, pour offrir une alternative libre au logiciel commercial sur linux/unix | * [[http://www.cs.tut.fi/~rammer/aide.html|aide]] : un clone de tripwire, écrit en C, pour offrir une alternative libre au logiciel commercial sur linux/unix | ||
| * [[afick]] : un clone libre et portable, pour fonctionner sur toute plate-forme (Unix, linux, Windows), avec des interfaces graphiques conviviales, dont je suis l'auteur | * [[afick]] : un clone libre et portable, pour fonctionner sur toute plate-forme (Unix, linux, Windows), avec des interfaces graphiques conviviales, dont je suis l'auteur | ||
| + | |||
| + | --- //[[eric.gerbier@free.fr|eric gerbier]] 2009/09/14 11:09// | ||
| + | |||
| + | {{tag>securite tripwire afick}} | ||
controleintegrite.1252418404.txt.gz · Dernière modification: 2012/02/05 16:43 (modification externe)
Outils de la page
Sauf mention contraire, le contenu de ce wiki est placé sous les termes de la licence suivante : GNU Free Documentation License 1.3
