. Menu .

Accueil
Miami ou Genesis ?
Sécuriser MiamiDX
Télécharger la doc
Liens
Les auteurs

Materiel

  • Modem
  • PC ISA
  • PCMCIA
    Reset PCMCIA

  • Connection

    MiamiDX
  • Modem
  • LAN
  • Cable
  • ADSL

  • Genesis
  • Modem
  • LAN
  • Cable
  • ADSL
  • Serveurs
  • IRC
  • FTP
  • HTTP PowerWeb
  • HTTP Apache/PHP
  • NFS
  • passerelle
  • Proxy
  • Samba
  • Telnet
  • VNC
  • X
  • Clients
  • Base
  • Divers
  • ICQ
  • IRC
  • FTP
  • LPR
  • MAIL
  • NEWS
  • NFS
  • Samba
    Samba/MacOS
  • SSH
  • VNC
  • WEB
  • . La sécurité sur Internet avec Miami Deluxe .

    Par Olivier Croquette.

    Après avoir configuré votre connexion sur Internet ( ou même en Intranet ), vous avez accès aux ressources du réseau. Mais vous avez aussi mis votre ordinateur à la portée des autres !

    Cet article a pour but de vous assurer que votre connexion ne fournit pas des services involontaires ou des failles à l'extérieur.

    Il s'adresse à des machines utilisées comme ordinateurs personnels, devant lesquels un humain est souvent présent et actif pendant la durée des connexions au réseau. Il n'a pas pour but de décrire la mise en place de services fiables sur un serveur sécurisé, ni la configuration d'un routeur. Ces fonctionnalités nécessitent une compréhension approfondie des protocoles et des logiciels qui sortent du cadre de cet article, qui plutôt a pour but de limiter les services offerts.

    Après avoir défini quelques termes nécessaires à la compréhension de l'article, nous verrons les différents points qui peuvent contribuer à la sécurité de votre Amiga.

    1. Contexte

    Quelques rappels d'abord ( avec des abus de langage ) :

    - TCP/IP :
    terme général englobant IP, TCP, ICMP, ...

    - Paquet :
    entité contenant des données et les entêtes ( de où ? vers où ? ... )

    - IP :
    c'est le protocole de base d'Internet. Il sert de support aux autres protocoles ( ICMP, TCP, UDP, ... ).Il définit par exemple les adresses IP.

    - adresse IP :
    adresse d'un élément d'un réseau IP. Si votre machine est connectée à Internet par Modem sans réseau local, elle n'a qu'une adresse IP ( celle attribuée par votre fournisseur ). Si vous avez en plus un réseau local, votre Amiga a 2 adresses IP : une locale et une sur Internet, soit une par "interface".On présente souvent les adresses IP sous la forme a.b.c.d où a,b,c,d sont des nombres compris entre 0 et 255 ( ie. des octets ).( en réalité, l'ordinateur a aussi une adresse de loopback, 127.0.0.1, qui correspond toujours à lui-même )

    - port :
    utilisé pour TCP et UDP. Chaque machine possède un certain nombre de ports UDP et TCP ( 0-65535 ) pour chaque adresse. Si une adresse IP était l'adresse d'un immeuble, le port serait un numéro d'appartement.

    - connexion (sens TCP) :
    un "pont" est réalisé entre deux couples ( adresseIP, port ) avant toute chose, sur lequel peuvent ensuite circuler les informations de manière fiable tant que la connection n'est pas rompue.

    - ICMP :
    c'est un protocole faisant parti de TCP/IP, qui sert surtout à l'administration des réseaux et à la gestion des erreurs ( hôtes non joignables, ping, ... ).Il est sans connection. Si une adresse IP était l'adresse d'un immeuble, ICMP fournirait des messages qu'on peut comparer à ceux de La Poste :
    "N'habite pas à l'adresse indiquée" ( port inaccessible, port unreachable )
    "L'adresse de l'immeuble est erronée" ( hôte inaccessible, host unreachable )

    - UDP :
    c'est un protocole simple permettant l'envoi de paquets en "Envoie et oublie", sans connexion ni sécurité d'arrivée du paquet, ni de non-duplication du paquet, ... Utilisé par ICQ, les flux audios et vidéos, ...

    - TCP :
    c'est un protocole très utilisé : IRC, HTTP, FTP, ... C'est un protocole avec connexion, fiable.

    2. Services

    - les services au démarrage

    Sur Amiga, ils sont très rarement installés. Ce sont des services qui se lancent pendant le démarrage de l'ordinateur. Cela peut être par exemple un serveur HTTP ( Apache ), un serveur FTP, un serveur NFS, ... Si c'est le cas, c'est que vous l'avez installé en toute connaissance de cause à la main, et donc la sécurisation du service est à votre charge :)

    - les services inetd

    inetd est un programme qui écoute un certains nombre de port de votre ordinateur, et lorsqu'une connexion arrive, inetd lance le serveur approprié. L'avantage est que les serveurs ne sont lançés que quand c'est nécessaire.
    La configuration de inetd se trouve dans Database/InetD.
    Le seul service à laisser est le service d'authentification ( auth ), ce qui vous évitera des temps d'attente voire des refus lorsque vous voulez vous connecter à un serveur IRC ou FTP qui fait appel à ce serice. Il permet à un ordinateur auquel vous êtes connecté ( TCP donc ) d'identifier votre nom d'utilisateur. Cela n'a d'interêt que pour les ordinateurs multi-utilisateurs en fait, mais c'est encore très utilisé.
    Passez donc ici chaque service en Disable, sauf auth.

    Miami Deluxe

    - Socks, NAT Si vous n'avez pas de réseau privé, vous devriez couper le serveur socks dans la page dédiée( TCP/IP,NLAN Connect, SocksD not enabled ) ainsi que le NAT. Dans le cas contraire, je vous conseille de lire la documentation, de configurer les NAT, Socks et firewall, et de les activer selon vos besoins. Mais tout ceci sort du cadre de ce document.

    3. Mots de passe

    Même si votre ordinateur n'offre pas de service, faites en sorte que chaque utilisateur dans Database/users ait un mot de passe activé. Cela évitera les problèmes le jour où vous oublierez d'éteindre un service telnet avec une connexion permanante...

    4. Surveillance

    La meilleure chose à faire pour être un peu rassuré est de savoir ce qui se passe sur votre ordinateur en temps réel !Pour cela, Miami Deluxe offre le filtre réseau, dans Database/IP Filter.
    Ce filtre peut vous aider à bloquer certaines choses et à les enregistrer. Il permet de filtrer/enregistrer l'activité sur les ports TCP, et de filtrer ( mais pas enregistrer ) l'activité l'UDP.Etant donné que nous avons supprimé tous les services, interdire les ports ne sert théoriquement pas à grand chose, mais la sécurité passe par la redondance et la paranoïa.Configurons tout d'abord l'enregistrement des messages. Ils seront stockés dans un fichier et envoyés en plus dans une fenêtre de votre Workbench en temps réel, ce qui vous permettra de savoir qui tente de se connecter sur votre ordinateur. Choisissez le chemin du fichier selon votre besoin.

    Miami Deluxe

    L'étape suivante est d'enregistrer toutes les tentatives de connection sur votre ordinateur en ajoutant une ligne dans Database/IP Filter :

    	protocol : *
    	service  : *
    	host     : *.*.*.*
    	mask     :
    	access   : n
    	log      : y
    

    Ainsi, toutes les tentatives de connexions seront enregistrées et refusées. Il y a plusieurs améliorations à apportées à ce filtrage :

    connexions locales : les connexions de et vers votre propre ordinateur ont peu de chance d'être dangereuses, et cela peut être utile de les autoriser. Un ordinateur a toujours une interface virtuelle locale qui correspond à lui-même, et qui a pour adresse 127.0.0.1

    * service d'authentification : si vous avez laissé le serveur d'authentification, il faut aussi autoriser les connexions ici, sinon elles seront refusées par le filtre avant d' atteindre le serveur.

    * réseau local : éventuellement, vous pouvez autoriser les connexions provenant de votre réseau local. Le réseau local décrit ici est 192.168.0.1 netmask 255.255.255.0. Si vous n'avez pas de réseau privé, sautez cette étape.

    * connexions TCP entrantes sur les ports 1024-65535 : ces ports peuvent être utilisés par exemple si vous envoyez un fichier à quelqu'un en DCC par IRC, ou bien si vous utilisez FTP. Ici, on autorise ces ports à accepter des connexions, mais on enregistre tout de même l'activité.

    * en UDP, il ne faut pas oublier d'autoriser les réponses à vos propres requêtes DNS. Le DNS est utilisée pour traduire les noms comme "www.yahoo.fr" en l'adresse IP du serveur Web de Yahoo. Ceci se fait en UDP, sans connexion donc. Votre Amiga envoie une requête : "Qui est www.yahoo.fr" dans un paquet UDP et attend une réponse du serveur DNS de votre fournisseur. Cette réponse arrive dans un autre paquet UDP, qu'il faut autoriser à passer les filtres. Ici, on accepte les paquets UDP entrants d'une seule machine, le serveur DNS du fournisseur ( 212.185.252.1 ).
    Miami ne permet malheureusement pas un filtrage plus poussé comme par exemple sur le port source du paquet UDP.

    Enfin, tous les paquets ne correspondant pas au règles ci-dessus tomberont dans la dernière règle, qui est de refuser et d'enregistrer.
    La configuration pourrait ressembler à cela :

    Miami Deluxe

    à l'utilisation, ce genre de fenêtre peut se présenter à vous sur les écrans publics :

    Miami Deluxe

    Ceci nous montre que quelque chose a essayé de se connecter sur les ports usuels de telnet (23) et http (80) de notre ordinateur !
    Notre filtre semble marcher, mais libre à vous de le tester et de l'approfondir !

    5. Divers

    * Protection ping flood ( page TCP/IP )

    Ce n'est pas vraiment une protection en fait. Lorsqu'une autre machine envoie des pings trop grand ou des pings trop rapide, Miami vous avertira et arrêtera de répondre à la machine. En pratique cela n'arrive jamais, et la protection est loin d'être la solution parfaite, mais cela ne coûte pas grand chose de l'activer.

    * Allow source routing

    A désactiver, car cela peut poser des problèmes de sécurité. Le source routing permet à l'expéditeur d'un paquet de fixer la route que celui-ci suivra sur le réseau, alors que cette route est normallement dynamiquement décidée par chacun des routeurs traversés.

    Miami Deluxe

    6. Conclusion

    L'Amiga donne une certaine impression de sécurité, car très peu de failles sont connues.
    Cela ne veut pas dire que le système n'a pas de failles ( rien n'est infaillible ), mais plutôt qu'aucune faille n'a été découverte et publiée, sans doute car peu de monde l'utilise, surtout dans le monde des serveurs et de la sécurité informatique.

    Cette impression ne doit pas faire oublier qu'il en faut peu pour créer soi-même une brêche dans le système : par exemple ne pas utiliser de mot de passe pour un utilisateur, oublier ce fait, et installer un serveur FTP quelques mois après. Un intrus pourrait alors accèder à tous les fichiers de votre Amiga en lecture/écriture, puisqu'AmigaOS n'a pas de notion de droits dans sa version normale.

    Le fait de surveiller en permamence ce qui se passe, acceptable pour une utilisation domestique, permet de se rassurer soi-même. Pour plus de surveillance encore, il est possible d'utiliser l'outil MiamiTCPDump qui vous permettra de surveiller le réseau de manière plus pointue encore.





    . Tester sa securité .

    Les tests en ligne.


    Tiré de la FAQ de fr.comp.securite par Stéphane Catteau, telechargeable la.


    Vous vous êtes laissé convaincre, et maintenant vous voudriez vérifier que votre firewall est bien configuré. Rien de plus facile, utilisez l'un des tests "en ligne" suivants, et regardez les résultats. Ces derniers vous paraîtront probablement obscurs, mais ce n'est pas très important. En effet, seuls comptent les ports, et leur état lors du test. Pour mieux les interpréter, reportez-vous aux deux points précédents (4.6 et 4.7)


    http://scan.sygatetech.com

    Le site de Sygate est, de tout ceux que je connais, celui que je préfère. Sobre, certains diront trop, il propose six tests différents, qui durent de quelques secondes à plusieurs minutes, suivant le test. Et en prime, l'accent est mis sur les tests, Sygate se contentant de trois ou quatre petites lignes discrètes, pour la promotion de ses produits.


    http://hackyourself.com/startdemo.dyn

    En anglais. Attention, vous devez indiquer votre adresse IP, et donc la connaître.


    http://www.dslreports.com/scan

    Assez intéressant, ce test se concentre sur les ports les plus fréquents, en TCP autant qu'en UDP. De plus, il inclura vos résultats (sans indiquer votre adresse IP) s'ils sont trop catastrophiques ;-)


    https://grc.com/x/ne.dll?bh0bkyd2

    Probablement le plus connu de tous. Avec sa petite vingtaine de ports testés, le scanner de gibson vaut ce qu'il vaut. Cependant, il est très rapide, et permet de vérifier en quelques secondes l'état des principaux ports.


    http://security1.norton.com/us/lunavbrk.asp?scantype=1

    Bien que restreint à une quinzaine de ports "traditionnels", comme le scanner de Gibson, ce test s'attache aussi à vérifier cent dix neufs ports traditionnellement utilisé par des trojans/troyens. Cependant, on ne peut qu'être dépité devant la tendance de symantec à en profiter pour faire la pub de ses produits...


    http://check.sdv.fr

    Lent, ce site vous propose de patienter avec un jeu de taquin aussi buggé que l'affichage du résultat. :-( Il ne doit sa place ici qu'à sa langue, puisqu'il est le seul en français.


    http://www.nessus.org

    Bien qu'il ne s'agisse pas d'un test en ligne, et qu'il ne concerne pas vraiment les particuliers, Nessus est incontournable dès qu'il s'agit de tester la vulnérabilité d'un réseau.




    Copyright (C) AmigaEnReseau 2oo2