cette page a été faite pour une conférence sur la sécurité au culte le samedi 9 avril 2005. Elle est sous licence LGPL voir le site http://www.gnu.org pour plus de renseignements Vous pouvez redistribuer et modifier ce document selon les termes de la Licence Publique Générale GNU (LGPL) version 2 ou toute autre version ultérieure
Je vais essayer d'illustrer les différents composants de la sécurité informatique par comparaison avec ceux d'une maison :
maison | ordinateur |
---|---|
fermer les portes,fenêtres,volets | fermer les ports réseau |
une bonne serrure | mots de passe difficiles, protocoles cryptes |
maison | ordinateur |
---|---|
alarme | anti-virus, ids |
ids = Intrusion Detection System (en français : système de détection d'intrusion)
maison | ordinateur |
---|---|
inventaire,empreintes | analyse des logs,contrôle d'intégrité |
Le but est de connaître ce qui a été modifié sur une machine, ce qui va permettre de :
Les propriétés des fichiers :
Le logiciel travaille par comparaison avec un état précédant, un peu comme le jeu des 7 erreurs entre 2 photos. Il stocke cet état dans une base de donnée.
Lancement régulier du logiciel. La meilleure solution est un lancement journalier par cron.
Le système de package rpm offre un système équivalent pour
mais il ne détecteras pas un nouveau fichier installé sans rpm.
Des fichiers sont modifiés en permanence, pour ne pas être submergé de fausses alarmes, on ne peut pas surveiller tous les fichiers, ni tous les paramètres. Il y a donc un travail important de configuration initiale.
Après la configuration, il faut fabriquer le premier “état”. Il faut que celui-ci soit absolument sûr (machine non infectée), puisque on va se baser dessus.
Une des préconisation de la sécurité informatique, c'est de mettre régulièrement sa machine à jour avec les correctifs de sécurité logiciels :
lors d'une intrusion, l'attaquant va chercher a camoufler ses traces (logs , …). l'attaquant peut aussi chercher si des logiciels d'intrusions sont installés et tenter de modifier leur fonctionnement :
il peut essayer de modifier la base de référence, afin que la comparaison ne montre rien. solutions :
il peut modifier le logiciel lui-même. solution :
il peut modifier le système d'exploitation : libc, module noyau … solution :
tous ces problèmes militent pour un lancement manuel, en plus du lancement par cron.
Il y a maintenant un panorama très étendu d'outils :
— eric gerbier 2009/09/14 11:09