Ignorer les liens de navigation | |
Quitter l'aperu | |
Sécurisation du réseau dans Oracle Solaris 11.1 Oracle Solaris 11.1 Information Library (Français) |
1. Utilisation de la protection des liens dans des environnements virtualisés
Réglage du réseau (liste des tâches)
Désactivation du démon de routage du réseau
Désactivation du transfert de paquets de diffusion
Désactivation des réponses aux demandes d'écho
Définition du multihébergement strict
Définition du nombre maximal de connexions TCP incomplètes
Définition du nombre maximal de connexions TCP en attente
Spécification d'un numéro aléatoire fort pour la connexion TCP initiale
Prévention des redirections ICMP
Réinitialisation des paramètres réseau sur des valeurs sécurisées
3. Serveurs Web et protocole SSL (Secure Sockets Layer)
4. IP Filter dans Oracle Solaris (présentation)
6. Architecture IPsec (présentation)
7. Configuration d'IPsec (tâches)
8. Architecture IPsec (référence)
9. Protocole IKE (présentation)
|
Cette procédure permet d'empêcher le routage réseau après l'installation en spécifiant un routeur par défaut. Cette procédure peut aussi être effectuée après une configuration manuelle du routage.
Remarque - De nombreuses procédures de configuration requièrent la désactivation du démon de routage. Vous avez donc peut-être désactivé ce démon dans le cadre d'une procédure de configuration générale.
Avant de commencer
Vous devez vous connecter en tant qu'administrateur disposant du profil de droits Network Management (gestion du réseau). Pour plus d'informations, reportez-vous à la section Utilisation de vos droits d’administration du manuel Administration d’Oracle Solaris 11.1 : Services de sécurité.
# svcs -x svc:/network/routing/route:default svc:/network/routing/route:default (in.routed network routing daemon) State: online since April 10, 2011 05:15:35 AM PDT See: in.routed(1M) See: /var/svc/log/network-routing-route:default.log Impact: None.
Si le service n'est pas en cours d'exécution, vous pouvez vous arrêter ici.
# routeadm -d ipv4-forwarding -d ipv6-forwarding # routeadm -d ipv4-routing -d ipv6-routing # routeadm -u
# svcs -x routing/route:default svc:/network/routing/route:default (in.routed network routing daemon) State: disabled since April 11, 2011 10:10:10 AM PDT Reason: Disabled by an administrator. See: http://support.oracle.com/msg/SMF-8000-05 See: in.routed(1M) Impact: This service is not running.
Voir aussi
Page de manuel routeadm(1M)
Par défaut, Oracle Solaris transmet les paquets de diffusion. Si la stratégie de sécurité de votre site exige une réduction du risque de saturation par diffusions, modifiez la valeur par défaut à l'aide de cette procédure.
Remarque - En désactivant la propriété _forward_directed_broadcasts, vous désactivez les commandes ping des diffusions.
Avant de commencer
Vous devez vous connecter en tant qu'administrateur disposant du profil de droits Network Management (gestion du réseau). Pour plus d'informations, reportez-vous à la section Utilisation de vos droits d’administration du manuel Administration d’Oracle Solaris 11.1 : Services de sécurité.
# ipadm set-prop -p _forward_directed_broadcasts=0 ip
# ipadm show-prop -p _forward_directed_broadcasts ip PROTO PROPERTY PERM CURRENT PERSISTENT DEFAULT POSSIBLE ip _forward_directed_broadcasts rw 0 -- 0 0,1
Voir aussi
Page de manuel ipadm(1M)
Cette procédure permet d'empêcher la diffusion d'informations sur la topologie du réseau.
Avant de commencer
Vous devez vous connecter en tant qu'administrateur disposant du profil de droits Network Management (gestion du réseau). Pour plus d'informations, reportez-vous à la section Utilisation de vos droits d’administration du manuel Administration d’Oracle Solaris 11.1 : Services de sécurité.
# ipadm set-prop -p _respond_to_echo_broadcast=0 ip # ipadm show-prop -p _respond_to_echo_broadcast ip PROTO PROPERTY PERM CURRENT PERSISTENT DEFAULT POSSIBLE ip _respond_to_echo_broadcast rw 0 -- 1 0,1
# ipadm set-prop -p _respond_to_echo_multicast=0 ipv4 # ipadm set-prop -p _respond_to_echo_multicast=0 ipv6 # ipadm show-prop -p _respond_to_echo_multicast ipv4 PROTO PROPERTY PERM CURRENT PERSISTENT DEFAULT POSSIBLE ipv4 _respond_to_echo_multicast rw 0 -- 1 0,1 # ipadm show-prop -p _respond_to_echo_multicast ipv6 PROTO PROPERTY PERM CURRENT PERSISTENT DEFAULT POSSIBLE ipv6 _respond_to_echo_multicast rw 0 -- 1 0,1
Voir aussi
Pour plus d'informations, reportez-vous à la section _respond_to_echo_broadcast et _respond_to_echo_multicast (ipv4 ou ipv6) du manuel Manuel de référence des paramètres réglables Oracle Solaris 11.1 et à la page de manuel ipadm(1M).
Pour les systèmes constituant des passerelles vers d'autres domaines, tels qu'un pare-feu ou un noeud de réseau privé virtuel (VPN), cette procédure permet d'activer le multihébergement strict. La propriété hostmodel contrôle le comportement d'envoi et de réception de paquets IP sur un système multihébergé.
Avant de commencer
Vous devez vous connecter en tant qu'administrateur disposant du profil de droits Network Management (gestion du réseau). Pour plus d'informations, reportez-vous à la section Utilisation de vos droits d’administration du manuel Administration d’Oracle Solaris 11.1 : Services de sécurité.
# ipadm set-prop -p hostmodel=strong ipv4 # ipadm set-prop -p hostmodel=strong ipv6
# ipadm show-prop -p hostmodel ip PROTO PROPERTY PERM CURRENT PERSISTENT DEFAULT POSSIBLE ipv6 hostmodel rw strong strong weak strong,src-priority,weak ipv4 hostmodel rw strong strong weak strong,src-priority,weak
Voir aussi
Pour plus d'informations, reportez-vous à la section hostmodel (ipv4 ou ipv6) du manuel Manuel de référence des paramètres réglables Oracle Solaris 11.1 et à la page de manuel ipadm(1M).
Pour plus d'informations sur l'utilisation du multihébergement strict, reportez-vous à la section Protection d'un VPN avec IPsec en mode Tunnel.
Cette procédure permet d'empêcher les attaques par déni de service en contrôlant le nombre de connexions en attente incomplètes.
Avant de commencer
Vous devez vous connecter en tant qu'administrateur disposant du profil de droits Network Management (gestion du réseau). Pour plus d'informations, reportez-vous à la section Utilisation de vos droits d’administration du manuel Administration d’Oracle Solaris 11.1 : Services de sécurité.
# ipadm set-prop -p _conn_req_max_q0=4096 tcp
# ipadm show-prop -p _conn_req_max_q0 tcp PROTO PROPERTY PERM CURRENT PERSISTENT DEFAULT POSSIBLE tcp _conn_req_max_q0 rw 4096 -- 128 1-4294967295
Voir aussi
Pour plus d'informations, reportez-vous à la section _conn_req_max_q0 du manuel Manuel de référence des paramètres réglables Oracle Solaris 11.1 et à la page de manuel ipadm(1M).
Cette procédure permet d'empêcher les attaques par déni de service en contrôlant le nombre de connexions entrantes autorisées.
Avant de commencer
Vous devez vous connecter en tant qu'administrateur disposant du profil de droits Network Management (gestion du réseau). Pour plus d'informations, reportez-vous à la section Utilisation de vos droits d’administration du manuel Administration d’Oracle Solaris 11.1 : Services de sécurité.
# ipadm set-prop -p _conn_req_max_q=1024 tcp
# ipadm show-prop -p _conn_req_max_q tcp PROTO PROPERTY PERM CURRENT PERSISTENT DEFAULT POSSIBLE tcp _conn_req_max_q rw 1024 -- 128 1-4294967295
Voir aussi
Pour plus d'informations, reportez-vous à la section _conn_req_max_q du manuel Manuel de référence des paramètres réglables Oracle Solaris 11.1 et à la page de manuel ipadm(1M).
Cette procédure définit le paramètre de génération du numéro de séquence initial TCP de manière à ce qu'il soit conforme à RFC 6528.
Avant de commencer
Vous devez vous connecter en tant qu'administrateur disposant de l'autorisation solaris.admin.edit/etc.default/inetinit . Par défaut, le rôle root dispose de cette autorisation. Pour plus d'informations, reportez-vous à la section Utilisation de vos droits d’administration du manuel Administration d’Oracle Solaris 11.1 : Services de sécurité.
# pfedit /etc/default/inetinit # TCP_STRONG_ISS=1 TCP_STRONG_ISS=2
# /usr/sbin/reboot
Les routeurs utilisent les messages de redirection ICMP afin d'informer les hôtes de l'existence de routes plus directes vers une destination. Un message de redirection ICMP illicite risque de provoquer une attaque Man-in-the-middle.
Avant de commencer
Vous devez vous connecter en tant qu'administrateur disposant du profil de droits Network Management (gestion du réseau). Pour plus d'informations, reportez-vous à la section Utilisation de vos droits d’administration du manuel Administration d’Oracle Solaris 11.1 : Services de sécurité.
Les messages de redirection ICMP modifient la table de routage de l'hôte et ne sont pas authentifiés. En outre, le traitement de paquets redirigés augmente la sollicitation de la CPU des systèmes.
# ipadm set-prop -p _ignore_redirect=1 ipv4 # ipadm set-prop -p _ignore_redirect=1 ipv6 # ipadm show-prop -p _ignore_redirect ipv4 PROTO PROPERTY PERM CURRENT PERSISTENT DEFAULT POSSIBLE ipv4 _ignore_redirect rw 1 1 0 0,1 # ipadm show-prop -p _ignore_redirect ipv6 PROTO PROPERTY PERM CURRENT PERSISTENT DEFAULT POSSIBLE ipv6 _ignore_redirect rw 1 1 0 0,1
Les messages de ce type incluent des informations issues de la table de routage qui peuvent révéler une partie de la topologie du réseau.
# ipadm set-prop -p _send_redirects=0 ipv4 # ipadm set-prop -p _send_redirects=0 ipv6 # ipadm show-prop -p _send_redirects ipv4 PROTO PROPERTY PERM CURRENT PERSISTENT DEFAULT POSSIBLE ipv4 _send_redirects rw 0 0 1 0,1 # ipadm show-prop -p _send_redirects ipv6 PROTO PROPERTY PERM CURRENT PERSISTENT DEFAULT POSSIBLE ipv6 _send_redirects rw 0 0 1 0,1
Pour plus d'informations, reportez-vous à la section _send_redirects (ipv4 ou ipv6) du manuel Manuel de référence des paramètres réglables Oracle Solaris 11.1 et à la page de manuel ipadm(1M).
De nombreux paramètres réseau, sécurisés par défaut, sont réglables et peuvent donc avoir été modifiés. Si les conditions du site le permettent, restaurez les valeurs par défaut des paramètres réglables suivants.
Avant de commencer
Vous devez vous connecter en tant qu'administrateur disposant du profil de droits Network Management (gestion du réseau). Pour plus d'informations, reportez-vous à la section Utilisation de vos droits d’administration du manuel Administration d’Oracle Solaris 11.1 : Services de sécurité.
La valeur par défaut empêche les attaques par déni de service provenant de paquets falsifiés.
# ipadm set-prop -p _forward_src_routed=0 ipv4 # ipadm set-prop -p _forward_src_routed=0 ipv6 # ipadm show-prop -p _forward_src_routed ipv4 PROTO PROPERTY PERM CURRENT PERSISTENT DEFAULT POSSIBLE ipv4 _forward_src_routed rw 0 -- 0 0,1 # ipadm show-prop -p _forward_src_routed ipv6 PROTO PROPERTY PERM CURRENT PERSISTENT DEFAULT POSSIBLE ipv6 _forward_src_routed rw 0 -- 0 0,1
Pour plus d'informations, reportez-vous à la section forwarding (ipv4 ou ipv6) du manuel Manuel de référence des paramètres réglables Oracle Solaris 11.1.
La valeur par défaut empêche la diffusion d'informations sur la topologie du réseau.
# ipadm set-prop -p _respond_to_address_mask_broadcast=0 ip # ipadm show-prop -p _respond_to_address_mask_broadcast ip PROTO PROPERTY PERM CURRENT PERSISTENT DEFAULT POSSIBLE ip _respond_to_address_mask_broadcast rw 0 -- 0 0,1
La valeur par défaut supprime les demandes supplémentaires des unités centrales par rapport aux systèmes et empêche la diffusion d'informations sur le réseau.
# ipadm set-prop -p _respond_to_timestamp=0 ip # ipadm show-prop -p _respond_to_timestamp ip PROTO PROPERTY PERM CURRENT PERSISTENT DEFAULT POSSIBLE ip _respond_to_timestamp rw 0 -- 0 0,1
La valeur par défaut supprime les demandes supplémentaires des unités centrales par rapport aux systèmes et empêche la diffusion d'informations sur le réseau.
# ipadm set-prop -p _respond_to_timestamp_broadcast=0 ip # ipadm show-prop -p _respond_to_timestamp_broadcast ip PROTO PROPERTY PERM CURRENT PERSISTENT DEFAULT POSSIBLE ip _respond_to_timestamp_broadcast rw 0 -- 0 0,1
La valeur par défaut empêche les paquets de passer outre les mesures de sécurité du réseau. Les paquets routés par la source autorisent la source du paquet à suggérer un chemin différent du chemin configuré sur le routeur.
Remarque - Ce paramètre peut être défini sur 1 à des fins de diagnostic. Une fois le diagnostic terminé, revenez à la valeur 0.
# ipadm set-prop -p _rev_src_routes=0 tcp # ipadm show-prop -p _rev_src_routes tcp PROTO PROPERTY PERM CURRENT PERSISTENT DEFAULT POSSIBLE tcp _rev_src_routes rw 0 -- 0 0,1
Pour plus d'informations, reportez-vous à la section _rev_src_routes du manuel Manuel de référence des paramètres réglables Oracle Solaris 11.1.
Voir aussi
Page de manuel ipadm(1M)