Pare-feu et politiques d'accès de l'Introduction à Linux par OnWorks

Passer au contenu

<Précédent | Table des matières | Suivant>

La plupart des distributions Linux fournissent des services de liste de diffusion pour les annonces de mises à jour de sécurité et des outils pour appliquer les mises à jour au système. Les problèmes de sécurité généraux de Linux uniquement sont signalés entre autres sur Linuxsecurity.com.

La mise à jour est un processus continu, ce devrait donc être une habitude presque quotidienne.

10.5.4. Pare-feu et politiques d'accès

10.5.4.1. Qu'est-ce qu'un pare-feu ?

Dans la section précédente, nous avons déjà mentionné les capacités de pare-feu sous Linux. Bien que l'administration du pare-feu soit l'une des tâches de votre administrateur réseau, vous devez savoir certaines choses sur les pare-feu.

Pare-feu est un terme vague qui peut désigner tout ce qui agit comme une barrière protectrice entre nous et le monde extérieur, généralement Internet. Un pare-feu peut être un système dédié ou une application spécifique qui fournit cette fonctionnalité. Ou il peut s'agir d'une combinaison de composants, y compris diverses combinaisons de matériel et de logiciel. Les pare-feu sont construits à partir de « règles » qui sont utilisées pour définir ce qui est autorisé à entrer et/ou à sortir d'un système ou d'un réseau donné.

Après avoir désactivé les services inutiles, nous souhaitons maintenant restreindre les services acceptés afin de n'autoriser que les connexions minimales requises. Un bel exemple est le travail à domicile : seule la connexion spécifique entre votre bureau et votre domicile doit être autorisée, les connexions des autres machines sur Internet doivent être bloquées.

10.5.4.2. Filtres de paquets

La première ligne de défense est un filtre de paquets, qui peut regarder à l'intérieur des paquets IP et prendre des décisions en fonction du contenu. Le plus courant est le package Netfilter, fournissant le iptables commande, un filtre de paquets de nouvelle génération pour Linux.

L'une des améliorations les plus remarquables des nouveaux noyaux est la inspection avec état fonction, qui non seulement indique ce qu'il y a à l'intérieur d'un paquet, mais détecte également si un paquet appartient ou est lié à un nouveau ou existant

connexion.

Le Shoreline Firewall ou Shorewall en abrégé est une interface pour la fonctionnalité de pare-feu standard sous Linux. Plus d'informations peuvent être trouvées sur la page du projet Netfilter/iptables.

10.5.4.3. wrappers TCP

L'encapsulation TCP fournit à peu près les mêmes résultats que les filtres de paquets, mais fonctionne différemment. L'encapsuleur accepte réellement la tentative de connexion, puis examine les fichiers de configuration et décide d'accepter ou de rejeter la demande de connexion. Il contrôle les connexions au niveau de l'application plutôt qu'au niveau du réseau.

Les wrappers TCP sont généralement utilisés avec xinetd pour fournir un contrôle d'accès basé sur le nom d'hôte et l'adresse IP. De plus, ces outils incluent des fonctionnalités de journalisation et de gestion de l'utilisation faciles à configurer.

Les avantages des wrappers TCP sont que le client qui se connecte ne sait pas que les wrappers sont utilisés et qu'ils fonctionnent séparément des applications qu'ils protègent.

L'accès basé sur l'hôte est contrôlé dans le hôtes.autoriser et hôtes.deny des dossiers. Plus d'informations peuvent être trouvées dans les fichiers de documentation TCP wrapper dans /usr/share/doc/tcp_wrappers[- /] or /usr/share/doc/tcp et dans les pages de manuel des fichiers de contrôle d'accès basés sur l'hôte, qui contiennent des exemples.

10.5.4.4. Procurations

Les mandataires peuvent effectuer diverses tâches, qui n'ont pas toutes grand-chose à voir avec la sécurité. Mais le fait qu'ils soient un intermédiaire fait des proxys un bon endroit pour appliquer des politiques de contrôle d'accès, limiter les connexions directes via un pare-feu et contrôler la façon dont le réseau derrière le proxy ressemble à Internet.

Généralement en combinaison avec un filtre de paquets, mais parfois tout seul, les proxys offrent un niveau de contrôle supplémentaire. Vous trouverez plus d'informations dans le Firewall HOWTO ou sur le site Web de Squid.

10.5.4.5. Accès aux applications individuelles

Certains serveurs peuvent avoir leurs propres fonctionnalités de contrôle d'accès. Les exemples courants incluent Samba, X Window, Bind, Apache et CUPS. Pour chaque service que vous souhaitez offrir, vérifiez quels fichiers de configuration s'appliquent.