Critique du livre Sécuriser un réseau Linux

Date de publication : 15/02/2005

Par Olivier Van Hoof (ovh) (Mes autres articles)

Présentation et critique du livre "Sécuriser un réseau linux", paru chez Eyrolles.

1. Livre Eyrolles : Securiser un réseau linux

Auteurs: B. Boutherin, B. Delaunay
Editeur: Eyrolles
Version: 2e edition
Nombre de pages: 188
Prix : 23,75 Euros
Commander le livre: Amazon

Cette deuxième édition détaille les règles d'or à appliquer pour que les réseaux et systèmes sous Linux restent sûrs et aborde des thèmes aujourd'hui incontournables : Wifi 802.1x et VPN, tableaux de bord, PKI, certificats... L'enjeu est de taille : protéger les données et assurer la continuité de service.

À travers une étude de cas mettant en scène un réseau d'entreprise, on améliorera l'architecture et la protection des systèmes connectés contre les intrusions, dénis de service et autres attaques : filtrage des flux, sécurisation par chiffrement avec SSL et (Open)SSH, surveillance, tableaux de bord, PKI... On utilisera des outils libres, réputés pour leur efficacité.

Critique du livre par ovh

La collection "les cahiers de l'admin" d'Eyrolles se veut résolument orientée pratique, et ce livre n'échappe pas à la règle, pour le plus grand plaisir des lecteurs, qui attendent des solutions concrètes.

Basé sur une étude de cas réel, le livre suit toutes les étapes de sécurisation : depuis le suivi du déroulement d'une attaque qui avait compromis tout un réseau d'entreprise jusqu'à la refonte complète de l'architecture de celui-ci. La distribution linux ciblée est la Red Hat mais la plupart des explications sont valables sur tous les systèmes linux voire même unix. Sont abordées successivement les 3 grandes étapes de sécurisation : configuration des services, filtrage (firewall), et surveillance (monitoring).

Les sujets traités sont bien présentés, mais il est dommage que certains aspects ne soient pas assez développés. Pour la sécurisation du service mail, l'auteur parle de Sendmail, mais on aurait apprécié quelques paragraphes sur Postfix, un serveur mail de plus en plus utilisé, ainsi que sur la configuration anti-spam et anti-virus. Idem pour Apache et les proxies (Squid et socks), on n'entre pas dans les détails de configuration, pourtant utiles à connaître pour un administrateur.

Il est aussi regrettable de voir certaines notions complètement passées sous silence ou à peine citées telles que l'obscurantisme (masquage d'informations sensibles), la sécurisation des réseaux wifi (le livre en parle un peu de manière théorique, mais ne montre pas la moindre ligne de configuration), ou encore le VPN qui me semble pourtant fondamental de nos jours. Pour tout dire, le mot "VPN" n'apparaît même pas dans l'index ! Le sujet de la haute disponibilité n'est pas abordé non plus, mais il s'agit là d'une application déjà assez pousée, donc on peut comprendre étant donné que l'ouvrage se centre plutôt sur les réseaux modestes.

En conclusion, ce livre offre une bonne base en matière de sécurité réseau sous linux, mais ses manquements l'empêchent malheureusement de se prétendre une référence en la matière. La cible de l'ouvrage étant les réseaux domestiques ou de PME, il atteint son but, mais il n'est pas assez complet pour des applications plus complexes.

Commandez chez Amazon.fr

23,75€ TTC seulement

Livraison gratuite!!!(car plus de 20 Euros d'achat)

Table des matières

La sécurité et le système Linux

Enjeux et objectifs de sécurité
La menace
Emergence des systèmes Linux

L'étude de cas : un réseau à sécuriser

Une jeune entreprise
Les besoins de la société en termes de services
Les choix techniques initiaux de Tamalo.com
L'infrastructure informatique vieillissante et vulnérable
La compromission du site
Mise en évidence des vulnérabilités
La refonte du système informatique
Le projet d'une nouvelle infrastructure réseau
Etudes des flux réseau
Vers des outils de communication sécurisés
Un suivi et une gestion quotidienne du système d'information

Attaques et compromissions des machines

Kiddies, warez et rebonds
Scénario de l'attaque du réseau de Tamalo.com
Analyse de la machine compromise

Chiffrement des communications avec SSH et SSL

Les quatre objectifs du chiffrement
Algorithmes de chiffrement symétrique et asymétrique
Le protocole SSL (Secure Socket Layer)
Le protocole SSH (Secure Shell)
Dépannage
L'alternative

Sécurisation des systèmes

Installation automatisée
Mise à jour régulière des systèmes
L'indispensable protection par mot de passe au démarrage
Mise en configuration minimale, limitation des services actifs
Sécurisation du système de fichiers
Gestion des accès et stratégie locale de sécurité
Configuration des services système cron et syslog
Configuration sécurisée de la pile TCP/IP
Sécurisation des services réseau : DNS, Web et mail
Bases de la sécurisation des services réseau
Service de résolution de noms DNS
Messagerie électronique
Serveur Web

Filtrage en entrée de site

But poursuivi
Principes de base du filtrage en entrée de site
Filtrage sans état
Filtrage avec états
Politique de filtrage : avant la compromission, "tout ouvert sauf"
Politique de filtrage : du "tout ouvert sauf" au "tout fermé sauf"
Déploiement de service FTP avec (et malgré) les filtres

Topologie, segmentation et DMZ

Pourquoi cloisonner ?
Définition des zones du réseau de Tamalo.com
Définition des flux à l'extérieur et à l'intérieur du réseau de Tamalo.com
Topologie du réseau
Détails de la configuration réseau de Tamalo.com
Proxy et NAT
Netfilter/IPtables

Surveillance et audit

Des traces partout
Linux et le syslog
Empreinte des machines : Tripwire
Métrologie réseau avec MRTG
NMAP
Audit réseau avec Nessus
Détection d'intrusion : Snort

A. Infrastructure à gestion de clés : création de l'autorité de certification de Tamalo.com

Open SSL et IGC
Création de certificats X. 509
Demande de certificats utilisateurs
Mise en oeuvre d'un serveur Web sécurisé HTTPS
Utilisation des certificats pour signer et /ou chiffrer les courriers électroniques