Solutions Sécurité

Dans le domaine de la sécurité, mon expérience m'a permis de parcourir plusieurs types de solutions, allant des outils de sécurisation réseaux aux outils d'audit et de tests de pénétration. Mon travail m'a fait utiliser et expérimenter le fonctionnement de nombreux protocoles réseaux, ainsi que les techniques de hacking les plus importantes. Ceci m'aide à connaître ainsi le fonctionnement en profondeur de ces principaux types d'applications et non pas seulement une simple utilisation de manière survolée.

Voici les premières applications qui peuvent être utiles pour les réseaux d'entreprises.

Solutions de filtrage

Logo SpamAssassin
Logo SpamAssassin,
® © Apache Software Foundation

SpamAssassin

SpamAssassin est un outil efficace de filtrage de spam e-mail (pourriel). Il possède de nombreuses techniques de détection, dont les filtres bayésiens. Il travaille en donnant une note aux mails traités en fonction de nombreuses règles et indique ainsi une probabilité à un mail d'être un spam. On peut décider ensuite d'être plus ou moins laxiste dans le seuil limite que l'on veut accepter. SpamAssassin possède une fonctionnalité d'apprentissage. Si elle est utilisée correctement elle augmente encore au cours du temps la capacité de l'application à détecter les spams et à diminuer les risques de faux positifs. Ce logiciel peut être couplé à plusieurs types de logiciels de lecture de mails ou même des serveurs de mails pour traiter automatiquement tous les mails entrants dans une entreprise. Le projet est chapeauté par la Fondation Apache.

Logo ClamAV
Logo ClamAV,
© ClamAV

ClamAV

ClamAV est un logiciel antivirus pour Unix gratuit et open source. Même si le nombre de malwares différents disponibles sur Unix est sans commune mesure par rapport à celui qu'on trouve sous Windows, il en existe cependant. Mais les moteurs antivirus sur Unix sont surtout utile pour filtrer les malwares Windows, et ainsi empêcher que ceux-ci entrent dans un réseau d'entreprise et n'infectent des machines fonctionnant avec Windows. Même si ClamAV n'est pas l'outil offrant le taux de détection le plus haut parmi les autres antivirus propriétaires, c'est une application ayant l'avantage d'avoir des définitions de virus totalement libres.

Logo Netfilter
Logo Netfilter,
© Netfilter

Netfilter

Netfilter est un firewall puissant embarqué au sein du noyau linux. Divers outils servent à paramétrer les filtres et fonctionnalités. Ce moteur firewall offre de nombreuses possibilités de filtres des protocoles et services réseaux, mais aussi le gestion du routage, la translation d'adresses (NAT) ainsi que la Qualité de Service (QoS), qui permet de gérer les priorités de trafic en fonction des provenances, destinations, types de trafic et débits de liaisons réseaux. Cette dernière fonction est notamment très utile pour les entreprises afin d'éviter que certains types de trafic ne "noient" les accès réseaux disponibles au détriment des communications réellement importantes. Plusieurs matériels firewalls physiques populaires embarquent des noyaux linux utilisant netfilter pour contrôler la sécurité réseau.

Logo Squid
Logo Squid,
© Squid

Squid

Squid est un serveur proxy web. Il fait l'intermédiaire entre les requêtes web des clients et les sites internet. Il renforce ainsi la sécurité d'un réseau par rapport au contenu web entrant. Ce serveur gère un cache des données web ce qui permet de limiter le débit internet utilisé pour des contenus déjà visités. De plus il est utile pour tracer les requêtes web et les postes internes qui les ont initiées, et bloquer des accès à certains sites, ou à certains type de contenus jugés non sûrs. Il autorise à imbriquer d'autres filtres externes comme par exemple un antivirus, pour nettoyer des contenus malveillants. Le serveur peut aussi être couplé avec le noyau linux netfilter et ainsi être configuré en mode "transparent". Cette fonctionnalité est particulièrement utile pour une entreprise ou un fournisseur d'accès. Ceci oblige ainsi que tout le trafic web soit filtré par le serveur Squid, sans que les clients n'aient à faire la moindre modification de configuration sur leur poste ou leurs applications. Cet élément ajoute un nouveau moteur de filtrage qu'on peut paraméter de manière transparente sur un réseau.

Solutions de cryptographie

OpenSSL

OpenSSL est un outil permettant de gérer la cryptographie des protocoles SSL et TLS. Ces protocoles de cryptage sont utilisés par bon nombre de protocoles de communications (web, mail, transferts de fichier, messagerie instantanée etc.) pour crypter le transport des données. OpenSSL crée et gère les certificats de cryptographie et les clés privées nécessaires aux serveurs pour utiliser cette cryptographie. Ce logiciel peut ainsi régir une petite PKI (Public Key Infrastructure), infrastructure de gestion de la hiérarchie des certificats de sécurité. De nombreux serveurs utilisent la librairie OpenSSL pour fournir le support des cryptages SSL/TLS à leur protocole réseau. Tous les algorithmes de chiffrement symétriques et asymétriques avec différentes tailles de clés utilisés sur internet sont pris en charge par l'application.

Logo GPG
Logo GPG,
® GnuPG

GPG

GPG, ou GNU Privacy Guard, est une implémentation libre de l'outil PGP qui a été très populaire à une époque. Ces solutions s'occupent du chiffrement de fichiers ou de mails. Plusieurs plugins permettent de brancher GPG aux navigateurs web ou clients mails. Ceci est utilisé pour sécuriser des fichiers, ou le contenu de mails suivant les destinataires. De plus en plus de personnes proposent leur clé publique compatible GPG disponible sur des serveurs de clé, voire parfois la signature numérique sur des cartes de visites. Le but étant que chacun puisse plus facilement récupérer la clé publique, afin de pouvoir leur envoyer des contenus sécurisés. GPG est une solution très intéressante et gratuite qui aide à renforcer la confidentialité des données échangées entre particuliers via internet.

VPN IPsec

Le noyau linux embarque aussi le protocole IPsec, protocole standard parmi les plus sûrs pour créer des VPN (Virtual Private Network), ou tunnels cryptés entre 2 machines ou réseaux à travers internet. Les VPN sont très utilisés en entreprise, pour proposer aux employés à l'extérieur de se connecter de manière sécurisée au réseau de l'entreprise et ainsi accéder en sûreté à tous les services et données de l'entreprise. Un ensemble d'outils permet de gérer les configurations pour la création des tunnels. Certains logiciels graphiques embarqués dans les firewalls offrent parfois de la faire de manière plus intuitive. Le noyau linux intègre tous les algorithmes de chiffrement utilisés par la norme IPsec.

Logo OpenSSH
Logo OpenSSH,
© OpenSSH

OpenSSH

OpenSSH sont un ensemble d'outils client et serveur, servant à gérer des communications sécurisées de type terminaux. Dans sa forme la plus simple il est utilisé pour envoyer des commandes à distance de manière sûre pour administrer des stations. Mais il offre aussi la copie à distance de fichiers avec un transport crypté, ainsi que la sécurisation d'autres communications via tunnel crypté. Couplé à un moteur graphique X11 disponible sur les systèmes Unix, il aide à la mise en place de véritables terminaux graphiques sécurisés. Ceci permet d'utiliser une machine Unix où sont réellement installées les applications, et ainsi pouvoir utiliser ces applications à distance depuis d'autres stations. Cette solution est une véritable alternatives à Terminal Services de Windows, composant qui nécessite une licence payante par utilisateur. Ceci n'est pas nécessaire pour le couple OpenSSH + X11, étant disponibles librement sur les systèmes open source.

Solutions de surveillance

Logo Snort
Logo Snort,
© Sourcefire Inc.

Snort

Snort est un système de détection d'intrusion (NIDS). Installé sur un tronçon clé d'un réseau, il écoute tout le trafic, et avec un mécanisme de signatures similaire aux antivirus, détecte toutes les attaques réseaux. C'est une très bonne solution pour avoir une meilleure vue des tentatives d'attaques qui passent souvent inaperçues, et avoir une présentation quantitative des malveillances transitant sur un réseau, souvent issues d'automatismes. L'entreprise Sourcefire créée par le développeur de l'application propose aussi des matériels physiques de détection autour de la solution Snort.

Nepenthes

Nepenthes est un outil de type "honeypot" (ou "pot à miel"). Ces applications sont d'un genre très intéressant. Elles permettent de simuler non seulement un certain nombre de logiciels serveur, mais de plus de simuler aussi les bugs de sécurités (vulnérabilités) de ces applications serveur populaires. Ceci sert à attraper volontairement les attaques réseaux, et ainsi récupérer et stocker sans risque les malwares (vers, chevaux de Troie) qui viennent souvent en seconde partie d'attaque. Pouvant au cours du temps ainsi récupérer un grand nombre des malwares susceptibles de nuire à un réseau, ceci rend ensuite possible de faire des statistiques sur ces applications malveillantes et attaques. On peut aussi tester avec des antivirus les malwares récupérés et ainsi identifier la part non détectée par les antivirus. Ces outils sont surtout utilisés dans la recherche sur les antivirus et les solutions de sécurité, mais ils aident aussi à avoir une vision plus approfondie des dangers pouvant subvenir dans les réseaux. Ceci rend possible par exemple de comparer le niveau de dangerosité de différents types de connexions internet ou différents prestataires. Plusieurs autres applications du même type on fait évoluer encore la qualité de leurs fonctionnalités.