Configuration du réseau

A ce stade, vous avez peut-être créé des utilisateurs qui peuvent assumer des rôles et créé les rôles. Seul le rôle root peut modifier les fichiers système.

Parmi les tâches réseau suivantes, effectuez celles qui fournissent une sécurité supplémentaire en fonction des exigences de votre site. Ces tâches réseau notifient les utilisateurs qui se connectent à distance que le système est protégé et renforcent les protocoles IP, ARP et TCP.

Tâche	Description	Voir
Affichage de messages d'avertissement reflétant la stratégie de sécurité de votre site.	Avertit les utilisateurs et les attaquants potentiels que le système est surveillé.	Afficher des messages de sécurité aux utilisateurs `ssh` et `ftp`
Désactivation du démon de routage du réseau.	Limite l'accès aux systèmes par des renifleurs de réseau	Désactivation du démon de routage réseau
Prévention de la diffusion d'informations sur la topologie du réseau.	Empêche la diffusion de paquets.	Désactivation du transfert de paquets de diffusion
	Désactivation des réponses aux demandes d'écho de diffusion et aux demandes d'écho multidiffusion.	Désactivation des réponses aux demandes d'écho
Pour les systèmes constituant des passerelles vers d'autres domaines, tels qu'un pare-feu ou un noeud de réseau privé virtuel (VPN), activation du multiréseau strict de la source et de la destination.	Empêche les paquets qui ne possèdent pas dans leur en-tête l'adresse de la passerelle de se déplacer au-delà de la passerelle.	Définition du multiréseau strict
Prévention des attaques DOS en contrôlant le nombre de connexions incomplètes au système.	Limite le nombre maximal de connexions TCP incomplètes pour un processus d'écoute TCP.	Définition du nombre maximal de connexions TCP incomplètes
Prévention des attaques DOS en contrôlant le nombre de connexions entrantes autorisées.	Spécifie le nombre maximal par défaut de connexions TCP en attente pour un processus d'écoute TCP.	Définition du nombre maximal de connexions TCP en attente
Génération de nombres aléatoires forts pour les connexions TCP initiales.	Respecte la valeur de génération de numéro de séquence spécifiée par RFC 1948.	Spécification d'un numéro aléatoire fort pour la connexion TCP initiale
Restauration des valeurs sécurisées par défaut des paramètres réseau.	Renforce la sécurité lorsqu'elle a été réduite par des actions d'administration.	Restauration des valeurs sécurisées de paramètres réseau
Ajout de wrappers TCP aux services réseau pour limiter l'accès des applications aux utilisateurs légitimes.	Indique les systèmes autorisés à accéder aux services réseau, tels que FTP. Par défaut, l'application `sendmail` est protégée à l'aide de wrappers TCP, comme décrit à la section Prise en charge des wrappers TCP à partir de la version 8.12 de sendmail du manuel Administration d’Oracle Solaris : Services réseau.	Pour activer des wrappers TCP pour tous les services `inetd`, reportez-vous à la section Contrôle d’accès aux services TCP à l’aide des wrappers TCP du manuel Administration d’Oracle Solaris : Services IP. Pour consulter un exemple illustrant la protection du service réseau FTP par des wrappers TCP, reportez-vous à la section Démarrage d’un serveur FTP à l’aide de SMF du manuel Administration d’Oracle Solaris : Services réseau.

Afficher des messages de sécurité aux utilisateurs `ssh` et `ftp`

Utilisez cette procédure pour afficher des messages de sécurité lors de la connexion à distance et du transfert de fichier.

Avant de commencer

Vous devez être dans le rôle root. Vous avez créé le fichier /etc/issue au cours de l'Étape 1 de la section Placement d'un message de sécurité dans les fichiers bannière.

Pour afficher un message de sécurité aux utilisateurs qui se connectent à l'aide de ssh, procédez comme suit :
1. Annulez la mise en commentaire de la directive de bannière dans le fichier /etc/sshd_config.
```
# vi /etc/ssh/sshd_config
# Banner to be printed before authentication starts.
Banner /etc/issue
```
2. Actualisez le service ssh.
```
# svcadm refresh ssh
  
```
Pour plus d'informations, reportez-vous aux pages de manuel issue(4) et sshd_config(4).
Pour afficher un message de sécurité aux utilisateurs qui se connectent via ftp, procédez comme suit :
1. Ajoutez la directive DisplayConnect au fichier proftpd.conf.
```
# vi /etc/proftpd.conf
# Banner to be printed before authentication starts.
DisplayConnect /etc/issue
```
2. Redémarrez le service ftp.
```
# svcadm restart ftp
```
  Pour plus d'informations, reportez-vous au site Web ProFTPD.

Désactivation du démon de routage réseau

Cette procédure permet d'empêcher le routage réseau après l'installation en spécifiant un routeur par défaut. Cette procédure peut aussi être effectuée après une configuration manuelle du routage.

Remarque - De nombreuses procédures de configuration requièrent la désactivation du démon de routage. Vous avez donc peut-être désactivé ce démon dans le cadre d'une procédure de configuration générale.

Avant de commencer

Le profil de droits Network Management (Gestion du réseau) doit vous avoir été attribué.

Assurez-vous que le démon de routage est en cours d'exécution.

# svcs -x svc:/network/routing/route:default
svc:/network/routing/route:default (in.routed network routing daemon)
 State: online since April 10, 2011 05:15:35 AM PDT
   See: in.routed(1M)
   See: /var/svc/log/network-routing-route:default.log
Impact: None.

Si le service n'est pas en cours d'exécution, vous pouvez vous arrêter ici.

Désactivez le démon de routage.

# routeadm -d ipv4-forwarding -d ipv6-forwarding
# routeadm -d ipv4-routing -d ipv6-routing
# routeadm -u

Vérifiez que le démon de routage est désactivé.

# svcs -x routing/route:default
svc:/network/routing/route:default (in.routed network routing daemon)
 State: disabled since April 11, 2011 10:10:10 AM PDT
Reason: Disabled by an administrator.
   See: http://sun.com/msg/SMF-8000-05
   See: in.routed(1M)
Impact: This service is not running.

Voir aussi

Page de manuel routeadm(1M)

Désactivation du transfert de paquets de diffusion

Par défaut, Oracle Solaris transmet les paquets de diffusion. Si la stratégie de sécurité de votre site exige une réduction du risque de saturation par diffusions, modifiez la valeur par défaut à l'aide de cette procédure.

Remarque - En désactivant la propriété _forward_directed_broadcasts, vous désactivez les commandes ping des diffusions.

Avant de commencer

Le profil de droits Network Management (Gestion du réseau) doit vous avoir été attribué.

Définissez sur 0 la propriété de transfert des paquets de diffusion pour les paquets IP.
```
# ipadm set-prop -p _forward_directed_broadcasts=0 ip
```

Contrôlez la valeur en cours.

# ipadm show-prop -p _forward_directed_broadcasts ip
PROTO  PROPERTY                     PERM CURRENT   PERSISTENT   DEFAULT   POSSIBLE
ip    _forward_directed_broadcasts  rw   0         --           0         0,1

Voir aussi

Page de manuel ipadm(1M)

Désactivation des réponses aux demandes d'écho

Cette procédure permet d'empêcher la diffusion d'informations sur la topologie du réseau.

Avant de commencer

Le profil de droits Network Management (Gestion du réseau) doit vous avoir été attribué.

Définissez sur 0 la propriété de réponse aux demandes d'écho de diffusion pour les paquets IP, puis contrôlez la valeur en cours.

# ipadm set-prop -p _respond_to_echo_broadcast=0 ip

# ipadm show-prop -p _respond_to_echo_broadcast ip
PROTO  PROPERTY                  PERM CURRENT   PERSISTENT   DEFAULT   POSSIBLE
ip    _respond_to_echo_broadcast rw   0         --           1         0,1

Définissez sur 0 la propriété de réponse aux demandes d'écho multidiffusion pour les paquets IP, puis contrôlez la valeur en cours.

# ipadm set-prop -p _respond_to_echo_multicast=0 ipv4
# ipadm set-prop -p _respond_to_echo_multicast=0 ipv6

# ipadm show-prop -p _respond_to_echo_multicast ipv4
PROTO  PROPERTY                  PERM CURRENT   PERSISTENT   DEFAULT   POSSIBLE
ipv4  _respond_to_echo_multicast rw   0         --           1         0,1
# ipadm show-prop -p _respond_to_echo_multicast ipv6
PROTO  PROPERTY                  PERM CURRENT   PERSISTENT   DEFAULT   POSSIBLE
ipv6  _respond_to_echo_multicast rw   0         --           1         0,1

Voir aussi

Pour plus d'informations, reportez-vous à la section _respond_to_echo_broadcast et _respond_to_echo_multicast (ipv4 ou ipv6) du manuel Manuel de référence des paramètres réglables Oracle Solaris et à la page de manuel ipadm(1M).

Définition du multiréseau strict

Pour les systèmes constituant des passerelles vers d'autres domaines, tels qu'un pare-feu ou un noeud de réseau privé virtuel (VPN), cette procédure permet d'activer les systèmes multiréseau stricts.

La version Oracle Solaris 11 présente une nouvelle propriété appelée hostmodel pour IPv4 et IPv6. Cette propriété contrôle le comportement d'envoi et de réception de paquets IP sur un système multiréseau.

Avant de commencer

Le profil de droits Network Management (Gestion du réseau) doit vous avoir été attribué.

Définissez la propriété hostmodel sur strong pour les paquets IP.

# ipadm set-prop -p hostmodel=strong ipv4
# ipadm set-prop -p hostmodel=strong ipv6

Contrôlez la valeur en cours et notez les valeurs possibles.

# ipadm show-prop -p hostmodel ip
PROTO  PROPERTY    PERM CURRENT   PERSISTENT   DEFAULT   POSSIBLE
ipv6   hostmodel   rw   strong    strong       weak      strong,src-priority,weak
ipv4   hostmodel   rw   strong    strong       weak      strong,src-priority,weak

Voir aussi

Pour plus d'informations, reportez-vous à la section hostmodel (ipv4 ou ipv6) du manuel Manuel de référence des paramètres réglables Oracle Solaris et à la page de manuel ipadm(1M).

Pour plus d'informations à propos du multiréseau, reportez-vous à la section Procédure de protection d’un VPN avec IPsec en mode Tunnel du manuel Administration d’Oracle Solaris : Services IP.

Définition du nombre maximal de connexions TCP incomplètes

Cette procédure permet d'empêcher les attaques par déni de service en contrôlant le nombre de connexions en attente incomplètes.

Avant de commencer

Le profil de droits Network Management (Gestion du réseau) doit vous avoir été attribué.

Définissez le nombre maximal de connexions entrantes.
```
# ipadm set-prop -p _conn_req_max_q0=4096 tcp
```

Contrôlez la valeur en cours.

# ipadm show-prop -p _conn_req_max_q0 tcp
PROTO  PROPERTY         PERM CURRENT   PERSISTENT   DEFAULT   POSSIBLE
tcp   _conn_req_max_q0  rw   4096      --           128       1-4294967295

Voir aussi

Pour plus d'informations, reportez-vous à la section _conn_req_max_q0 du manuel Manuel de référence des paramètres réglables Oracle Solaris et à la page de manuel ipadm(1M).

Définition du nombre maximal de connexions TCP en attente

Cette procédure permet d'empêcher les attaques par déni de service en contrôlant le nombre de connexions entrantes autorisées.

Avant de commencer

Le profil de droits Network Management (Gestion du réseau) doit vous avoir été attribué.

Définissez le nombre maximal de connexions entrantes.
```
# ipadm set-prop -p _conn_req_max_q=1024 tcp
```

Contrôlez la valeur en cours.

# ipadm show-prop -p _conn_req_max_q tcp
PROTO  PROPERTY         PERM CURRENT   PERSISTENT   DEFAULT   POSSIBLE
tcp   _conn_req_max_q   rw   1024      --           128       1-4294967295

Voir aussi

Pour plus d'informations, reportez-vous à _conn_req_max_q du manuel Manuel de référence des paramètres réglables Oracle Solaris et à la page de manuel ipadm(1M).

Spécification d'un numéro aléatoire fort pour la connexion TCP initiale

Cette procédure définit le paramètre de génération du numéro de séquence initial TCP de manière à ce qu'il soit conforme à RFC 1948.

Avant de commencer

Vous devez être dans le rôle root pour modifier un fichier système.

Modifiez la valeur par défaut de la variable TCP_STRONG_ISS.

# vi /etc/default/inetinit
# TCP_STRONG_ISS=1
TCP_STRONG_ISS=2

Restauration des valeurs sécurisées de paramètres réseau

De nombreux paramètres réseau sécurisés par défaut sont réglables et peuvent donc être modifiés. Si les conditions du site le permettent, restaurez les valeurs par défaut des paramètres réglables suivants.

Avant de commencer

Le profil de droits Network Management (Gestion du réseau) doit vous avoir été attribué. La valeur actuelle du paramètre est moins sûre que la valeur par défaut.

Définissez sur 0 la propriété de transfert des packages source pour les paquets IP, puis contrôlez la valeur en cours.

La valeur par défaut empêche les attaques par déni de service provenant de paquets falsifiés.

# ipadm set-prop -p _forward_src_routed=0 ipv4
# ipadm set-prop -p _forward_src_routed=0 ipv6
# ipadm show-prop -p _forward_src_routed ipv4
PROTO  PROPERTY             PERM CURRENT   PERSISTENT   DEFAULT   POSSIBLE
ipv4  _forward_src_routed   rw   0         --           0         0,1
# ipadm show-prop -p _forward_src_routed ipv6
PROTO  PROPERTY             PERM CURRENT   PERSISTENT   DEFAULT   POSSIBLE
ipv6  _forward_src_routed   rw   0         --           0         0,1

Pour plus d'informations, reportez-vous à la section forwarding (ipv4 ou ipv6) du manuel Manuel de référence des paramètres réglables Oracle Solaris.

Définissez sur 0 la propriété de réponse netmask pour les paquets IP, puis contrôlez la valeur en cours.

La valeur par défaut empêche la diffusion d'informations sur la topologie du réseau.

# ipadm set-prop -p _respond_to_address_mask_broadcast=0 ip
# ipadm show-prop -p _respond_to_address_mask_broadcast ip
PROTO PROPERTY                           PERM CURRENT   PERSISTENT   DEFAULT   POSSIBLE
ip    _respond_to_address_mask_broadcast rw   0         --           0         0,1

Définissez sur 0 la propriété de réponse de l'horodatage pour les paquets IP, puis contrôlez la valeur en cours.
La valeur par défaut supprime les demandes supplémentaires des unités centrales par rapport aux systèmes et empêche la diffusion d'informations sur le réseau.
```
# ipadm set-prop -p _respond_to_timestamp=0 ip
# ipadm show-prop -p _respond_to_timestamp ip
PROTO  PROPERTY                        PERM CURRENT   PERSISTENT   DEFAULT   POSSIBLE
ip    _respond_to_timestamp            rw   0         --           0         0,1
```
Définissez sur 0 la propriété de réponse de diffusion de l'horodatage pour les paquets IP, puis contrôlez la valeur en cours.
La valeur par défaut supprime les demandes supplémentaires des unités centrales par rapport aux systèmes et empêche la diffusion d'informations sur le réseau.
```
# ipadm set-prop -p _respond_to_timestamp_broadcast=0 ip
# ipadm show-prop -p _respond_to_timestamp_broadcast ip
PROTO  PROPERTY                        PERM CURRENT   PERSISTENT   DEFAULT   POSSIBLE
ip    _respond_to_timestamp_broadcast  rw   0         --           0         0,1
```

Définissez sur 0 la propriété ignorer les réacheminements, puis contrôlez la valeur en cours.

La valeur par défaut empêche les demandes supplémentaires des unités centrales par rapport aux systèmes.

# ipadm set-prop -p _ignore_redirect=0 ipv4
# ipadm set-prop -p _ignore_redirect=0 ipv6
# ipadm show-prop -p _ignore_redirect ipv4
PROTO  PROPERTY         PERM CURRENT   PERSISTENT   DEFAULT   POSSIBLE
ipv4  _ignore_redirect  rw   0         --           0         0,1
# ipadm show-prop -p _ignore_redirect ipv6
PROTO  PROPERTY         PERM CURRENT   PERSISTENT   DEFAULT   POSSIBLE
ipv6  _ignore_redirect  rw   0         --           0         0,1

Empêchez le routage de source IP.
Si vous avez besoin du routage de source IP à des fins de diagnostic, ne désactivez pas ce paramètre réseau.
```
# ipadm set-prop -p _rev_src_routes=0 tcp
# ipadm show-prop -p _rev_src_routes tcp
PROTO  PROPERTY         PERM CURRENT   PERSISTENT   DEFAULT   POSSIBLE
tcp   _rev_src_routes   rw   0         --           0         0,1
```
Pour plus d'informations, reportez-vous à la section _rev_src_routes du manuel Manuel de référence des paramètres réglables Oracle Solaris.

Définissez sur 0 la propriété ignorer les réacheminements, puis contrôlez la valeur en cours.

La valeur par défaut empêche les demandes supplémentaires des unités centrales par rapport aux systèmes. Normalement, les réacheminements ne sont pas nécessaires sur un réseau bien conçu.

# ipadm set-prop -p _ignore_redirect=0 ipv4
# ipadm set-prop -p _ignore_redirect=0 ipv6
# ipadm show-prop -p _ignore_redirect ipv4
PROTO  PROPERTY           PERM  CURRENT   PERSISTENT   DEFAULT   POSSIBLE
ipv4   _ignore_redirect   rw    0         --           0         0,1
# ipadm show-prop -p _ignore_redirect ipv6
PROTO  PROPERTY           PERM  CURRENT   PERSISTENT   DEFAULT   POSSIBLE
ipv6   _ignore_redirect   rw    0         --           0         0,1

Voir aussi

Page de manuel ipadm(1M)

Ignorer les liens de navigation
Quitter l'aperu
	Directives de sécurité d'Oracle Solaris 11 Oracle Solaris 11 Information Library (Français)