Par Xavier GRUSELLE et Grégory ALLAIN (Site optimisé pour Firefox 1.5)

Liens conseillés

• Détection d'intrusion Systèmes de détection d'intrusion: vocabulaire, terminologie, critère de choix, positionnement, utilité...
• La sécurité "by-design"Une vue d'ensemble sur la sécurité informatique par la société TWD Industries
• Présentation sur les IDSUne présentation simple mais efficace des systèmes IDS par la societe HSC
• Serveur-proxy type FirewallComme son nom l'indique : Qu'est ce qu'un serveur proxy de type Firewall
• HIDS/NIDSUn site trés complet sur les IDS et la sécurité informatique en général
• FAQ IDS (Anglais)Un FAQ complet sur les IDS et autres, malheureusement en anglais
• Définitions IDSUn rapide rappel sur les définitions liées aux IDS
• Site officiel de SquidComme son nom l'indique, le site officiel du célébre serveur proxy
• Wiki sur SquidUn court aperçu du logiciel avec quelques liens
• CCM - les IDSLe célébre site 'Comment ça marche' s'intéresse ici aux IDS
• Un tutorial sur les ACLsQu'est ce qu'une ACL, comment la modifier...Un paranorama sur les listes de contrôles d'accès
• Tenable Network SecurityLe site de la société Tenable Network Security Inc.
• Internet Security SystemsLe site de la société Internet Security Systems (ISS)
• Solution IPS CiscoUn apercu des solutions IPS proposées par la société Cisco
• Solution IDS EnteraSysUn apercu des solutions IDS proposées par la société EnteraSys Security

2- Installation et configuration

2.2- Configuration du noyau

Ensuite on peut configurer le noyau avec toutes les options nécessaires au routage et à Netfilter.
On peut maintenant configurer les options :

   cd /usr/src/linux

     make mrproper

     make  menuconfig

La on arrive sur le beau menu de configuration du noyau.
Voici les différentes options qu'on va compiler (en plus de celles par defaut): Tout se passe dans le menu ``Networking options''
<*> Packet socket : permet aux applications d'acceder directement aux interfaces réseau. Necessaire pour utiliser des générateurs de paquets, des sniffers etc ...
[*] Packet socket: mmapped IO : permet d'accelerer les communication, il parait. Je ne sais pas comment cela fonctionne mais on va quand meme l'utiliser.
[*] Network packet filtering (replaces ipchains) : Ca veut dire qu'on veut Netfilter ...
[*] IP: advanced router : Permet d'utiliser les options de routage avancé de Linux. Très interessant mais pas necessaire si on veut faire du routage simple.
[*] IP: policy routing (NEW) : Permet d'utiliser l'adresse source en plus de la destination pour prendre une décision de routage. On peut aussi utiliser le champ TOS (Type Of Service) des paquets si on a coché : [*] IP: use TOS value as routing key (NEW) Si on coche : [*] IP: fast network address translation (NEW) On pourra modifier l'adresse source et l'adresse destination des paquets qu'on forwarde. Si enfin on coche : [*] IP: use netfilter MARK value as routing key (NEW) On pourra utiliser la cible MARK de Netfilter comme regle de décision. Nous n'allons pas utiliser toutes ces options dans ce document mais après avoir bien testé Netfilter, vous aurrez surement envie d'aller plus loin et de tester des configurations extrèmes ... Le fichier d'aide du noyau nous indique qu'il est intéressant d'activer l'option : [*] IP: verbose route monitoring (NEW) Elle permet de logger les packets routés qui ont l'air étrange ... Ca peut donc permettre de renforcer la sécurité de notre machine.
Une autre option interessante à cocher : [*] IP: TCP syncookie support (disabled per default) Elle permet d'éviter un DoS (Denial Of Service) très facile à faire : le SYN flood, le principe est simple, on remplit la queue avec des débuts de connexion provenant d'une ip qui ne repond pas vers un des ports ouvert de la machine. A partir de ce moment, n'importe quel client (normal) qui tente de se connecté échoue. Le port n'est plus accéssible du tout. Cette attaque qui se base encore une fois sur un spoof est difficilement tracable ... Si vous souhaitez savoir comment fonctionnent en interne les syn cookies allez voir : http://cr.yp.to/syncookies.html.
Une fois les options principales selectionnées, nous allons entrer dans le menu de configuration de Netfiler : IP: Netfilter Configuration --> Et on va selectionner tous les modules sauf les deux derniers qui ne serve qu'a la compatibilité avec Ipchains. Nous décrirons ces modules un peu plus loin, pour l'instant : la compilation ! tapez :

       make dep bzimage modules modules_install

Allez prendre un café ou une tisane à l'eucalyptus.

      cp  arch/i386/boot/bzImage /boot/vmlinuz (le nom de votre ancien noyau)

         lilo

Rebootez ... c'est pret ! Votre noyau vaut approximativement 6000 $ chez CheckPoint ou Nokia, voir 300 000 F chez Nortel :))
On va enfin pouvoir commencer à s'amuser avec nos paquets ...

 

Dream © 2006