JavaScript is required to for searching.
Ignorer les liens de navigation
Quitter l'aperu
Sécurisation du réseau dans Oracle Solaris 11.1     Oracle Solaris 11.1 Information Library (Français)
Oracle Technology Network
Bibliothèque
PDF
Aperçu avant impression
Commentaires
search filter icon
search icon

Informations document

Préface

1.  Utilisation de la protection des liens dans des environnements virtualisés

2.  Réglage du réseau (tâches)

Réglage du réseau (liste des tâches)

Désactivation du démon de routage du réseau

Désactivation du transfert de paquets de diffusion

Désactivation des réponses aux demandes d'écho

Définition du multihébergement strict

Définition du nombre maximal de connexions TCP incomplètes

Définition du nombre maximal de connexions TCP en attente

Spécification d'un numéro aléatoire fort pour la connexion TCP initiale

Prévention des redirections ICMP

Réinitialisation des paramètres réseau sur des valeurs sécurisées

3.  Serveurs Web et protocole SSL (Secure Sockets Layer)

4.  IP Filter dans Oracle Solaris (présentation)

5.  IP Filter (tâches)

6.  Architecture IPsec (présentation)

7.  Configuration d'IPsec (tâches)

8.  Architecture IPsec (référence)

9.  Protocole IKE (présentation)

10.  Configuration du protocole IKE (tâches)

11.  Protocole IKE (référence)

Glossaire

Index

Réglage du réseau (liste des tâches)

Tâche
Description
Voir
Désactivation du démon de routage du réseau.
Limite l'accès aux systèmes par des renifleurs de réseau
Désactivation du démon de routage du réseau
Prévention de la diffusion d'informations sur la topologie du réseau.
Empêche la diffusion de paquets.
Désactivation du transfert de paquets de diffusion
Désactivation des réponses aux demandes d'écho de diffusion et aux demandes d'écho multidiffusion.
Désactivation des réponses aux demandes d'écho
Pour les systèmes constituant des passerelles vers d'autres domaines, tels qu'un pare-feu ou un noeud de réseau privé virtuel (VPN), activation du multihébergement strict de la source et de la destination.
Empêche les paquets qui ne possèdent pas dans leur en-tête l'adresse de la passerelle de se déplacer au-delà de la passerelle.
Définition du multihébergement strict
Prévention des attaques DOS en contrôlant le nombre de connexions incomplètes au système.
Limite le nombre maximal de connexions TCP incomplètes pour un processus d'écoute TCP.
Définition du nombre maximal de connexions TCP incomplètes
Prévention des attaques DOS en contrôlant le nombre de connexions entrantes autorisées.
Spécifie le nombre maximal par défaut de connexions TCP en attente pour un processus d'écoute TCP.
Définition du nombre maximal de connexions TCP en attente
Génération de nombres aléatoires forts pour les connexions TCP initiales.
Respecte la valeur de génération de numéro de séquence spécifiée par RFC 6528.
Spécification d'un numéro aléatoire fort pour la connexion TCP initiale
Prévention de la redirection ICMP.
Supprime les indicateurs de la topologie du réseau.
Prévention des redirections ICMP
Restauration des valeurs sécurisées par défaut des paramètres réseau.
Renforce la sécurité lorsqu'elle a été réduite par des actions d'administration.
Réinitialisation des paramètres réseau sur des valeurs sécurisées

Désactivation du démon de routage du réseau

Cette procédure permet d'empêcher le routage réseau après l'installation en spécifiant un routeur par défaut. Cette procédure peut aussi être effectuée après une configuration manuelle du routage.

Remarque - De nombreuses procédures de configuration requièrent la désactivation du démon de routage. Vous avez donc peut-être désactivé ce démon dans le cadre d'une procédure de configuration générale.

Avant de commencer

Vous devez vous connecter en tant qu'administrateur disposant du profil de droits Network Management (gestion du réseau). Pour plus d'informations, reportez-vous à la section Utilisation de vos droits d’administration du manuel Administration d’Oracle Solaris 11.1 : Services de sécurité.

  1. Assurez-vous que le démon de routage est en cours d'exécution.
    # svcs -x svc:/network/routing/route:default
svc:/network/routing/route:default (in.routed network routing daemon)
 State: online since April 10, 2011 05:15:35 AM PDT
   See: in.routed(1M)
   See: /var/svc/log/network-routing-route:default.log
Impact: None.

    Si le service n'est pas en cours d'exécution, vous pouvez vous arrêter ici.

  2. Désactivez le démon de routage.
    # routeadm -d ipv4-forwarding -d ipv6-forwarding
# routeadm -d ipv4-routing -d ipv6-routing
# routeadm -u
  3. Vérifiez que le démon de routage est désactivé.
    # svcs -x routing/route:default
svc:/network/routing/route:default (in.routed network routing daemon)
 State: disabled since April 11, 2011 10:10:10 AM PDT
Reason: Disabled by an administrator.
   See: http://support.oracle.com/msg/SMF-8000-05
   See: in.routed(1M)
Impact: This service is not running.

Voir aussi

Page de manuel routeadm(1M)

Désactivation du transfert de paquets de diffusion

Par défaut, Oracle Solaris transmet les paquets de diffusion. Si la stratégie de sécurité de votre site exige une réduction du risque de saturation par diffusions, modifiez la valeur par défaut à l'aide de cette procédure.

Remarque - En désactivant la propriété _forward_directed_broadcasts, vous désactivez les commandes ping des diffusions.

Avant de commencer

Vous devez vous connecter en tant qu'administrateur disposant du profil de droits Network Management (gestion du réseau). Pour plus d'informations, reportez-vous à la section Utilisation de vos droits d’administration du manuel Administration d’Oracle Solaris 11.1 : Services de sécurité.

  1. Définissez sur 0 la propriété de transfert des paquets de diffusion pour les paquets IP. 
    # ipadm set-prop -p _forward_directed_broadcasts=0 ip
  2. Contrôlez la valeur en cours.
    # ipadm show-prop -p _forward_directed_broadcasts ip
PROTO  PROPERTY                     PERM CURRENT   PERSISTENT   DEFAULT   POSSIBLE
ip    _forward_directed_broadcasts  rw   0         --           0         0,1

Voir aussi

Page de manuel ipadm(1M)

Désactivation des réponses aux demandes d'écho

Cette procédure permet d'empêcher la diffusion d'informations sur la topologie du réseau.

Avant de commencer

Vous devez vous connecter en tant qu'administrateur disposant du profil de droits Network Management (gestion du réseau). Pour plus d'informations, reportez-vous à la section Utilisation de vos droits d’administration du manuel Administration d’Oracle Solaris 11.1 : Services de sécurité.

  1. Définissez sur 0 la propriété de réponse aux demandes d'écho de diffusion pour les paquets IP, puis contrôlez la valeur en cours. 
    # ipadm set-prop -p _respond_to_echo_broadcast=0 ip

# ipadm show-prop -p _respond_to_echo_broadcast ip
PROTO  PROPERTY                  PERM CURRENT   PERSISTENT   DEFAULT   POSSIBLE
ip    _respond_to_echo_broadcast rw   0         --           1         0,1
  2. Définissez sur 0 la propriété de réponse aux demandes d'écho multidiffusion pour les paquets IP, puis contrôlez la valeur en cours. 
    # ipadm set-prop -p _respond_to_echo_multicast=0 ipv4
# ipadm set-prop -p _respond_to_echo_multicast=0 ipv6

# ipadm show-prop -p _respond_to_echo_multicast ipv4
PROTO  PROPERTY                  PERM CURRENT   PERSISTENT   DEFAULT   POSSIBLE
ipv4  _respond_to_echo_multicast rw   0         --           1         0,1
# ipadm show-prop -p _respond_to_echo_multicast ipv6
PROTO  PROPERTY                  PERM CURRENT   PERSISTENT   DEFAULT   POSSIBLE
ipv6  _respond_to_echo_multicast rw   0         --           1         0,1

Voir aussi

Pour plus d'informations, reportez-vous à la section _respond_to_echo_broadcast et _respond_to_echo_multicast (ipv4 ou ipv6) du manuel Manuel de référence des paramètres réglables Oracle Solaris 11.1 et à la page de manuel ipadm(1M).

Définition du multihébergement strict

Pour les systèmes constituant des passerelles vers d'autres domaines, tels qu'un pare-feu ou un noeud de réseau privé virtuel (VPN), cette procédure permet d'activer le multihébergement strict. La propriété hostmodel contrôle le comportement d'envoi et de réception de paquets IP sur un système multihébergé.

Avant de commencer

Vous devez vous connecter en tant qu'administrateur disposant du profil de droits Network Management (gestion du réseau). Pour plus d'informations, reportez-vous à la section Utilisation de vos droits d’administration du manuel Administration d’Oracle Solaris 11.1 : Services de sécurité.

  1. Définissez la propriété hostmodel sur strong pour les paquets IP. 
    # ipadm set-prop -p hostmodel=strong ipv4
# ipadm set-prop -p hostmodel=strong ipv6
  2. Vérifiez la valeur actuelle et notez les valeurs possibles.
    # ipadm show-prop -p hostmodel ip
PROTO  PROPERTY    PERM CURRENT   PERSISTENT   DEFAULT   POSSIBLE
ipv6   hostmodel   rw   strong    strong       weak      strong,src-priority,weak
ipv4   hostmodel   rw   strong    strong       weak      strong,src-priority,weak

Voir aussi

Pour plus d'informations, reportez-vous à la section hostmodel (ipv4 ou ipv6) du manuel Manuel de référence des paramètres réglables Oracle Solaris 11.1 et à la page de manuel ipadm(1M).

Pour plus d'informations sur l'utilisation du multihébergement strict, reportez-vous à la section Protection d'un VPN avec IPsec en mode Tunnel.

Définition du nombre maximal de connexions TCP incomplètes

Cette procédure permet d'empêcher les attaques par déni de service en contrôlant le nombre de connexions en attente incomplètes.

Avant de commencer

Vous devez vous connecter en tant qu'administrateur disposant du profil de droits Network Management (gestion du réseau). Pour plus d'informations, reportez-vous à la section Utilisation de vos droits d’administration du manuel Administration d’Oracle Solaris 11.1 : Services de sécurité.

  1. Définissez le nombre maximal de connexions entrantes. 
    # ipadm set-prop -p _conn_req_max_q0=4096 tcp
  2. Contrôlez la valeur en cours.
    # ipadm show-prop -p _conn_req_max_q0 tcp
PROTO  PROPERTY         PERM CURRENT   PERSISTENT   DEFAULT   POSSIBLE
tcp   _conn_req_max_q0  rw   4096      --           128       1-4294967295

Voir aussi

Pour plus d'informations, reportez-vous à la section _conn_req_max_q0 du manuel Manuel de référence des paramètres réglables Oracle Solaris 11.1 et à la page de manuel ipadm(1M).

Définition du nombre maximal de connexions TCP en attente

Cette procédure permet d'empêcher les attaques par déni de service en contrôlant le nombre de connexions entrantes autorisées.

Avant de commencer

Vous devez vous connecter en tant qu'administrateur disposant du profil de droits Network Management (gestion du réseau). Pour plus d'informations, reportez-vous à la section Utilisation de vos droits d’administration du manuel Administration d’Oracle Solaris 11.1 : Services de sécurité.

  1. Définissez le nombre maximal de connexions entrantes. 
    # ipadm set-prop -p _conn_req_max_q=1024 tcp
  2. Contrôlez la valeur en cours.
    # ipadm show-prop -p _conn_req_max_q tcp
PROTO  PROPERTY         PERM CURRENT   PERSISTENT   DEFAULT   POSSIBLE
tcp   _conn_req_max_q   rw   1024      --           128       1-4294967295

Voir aussi

Pour plus d'informations, reportez-vous à la section _conn_req_max_q du manuel Manuel de référence des paramètres réglables Oracle Solaris 11.1 et à la page de manuel ipadm(1M).

Spécification d'un numéro aléatoire fort pour la connexion TCP initiale

Cette procédure définit le paramètre de génération du numéro de séquence initial TCP de manière à ce qu'il soit conforme à RFC 6528.

Avant de commencer

Vous devez vous connecter en tant qu'administrateur disposant de l'autorisation solaris.admin.edit/etc.default/inetinit . Par défaut, le rôle root dispose de cette autorisation. Pour plus d'informations, reportez-vous à la section Utilisation de vos droits d’administration du manuel Administration d’Oracle Solaris 11.1 : Services de sécurité.

  1. Modifiez la valeur par défaut de la variable TCP_STRONG_ISS.
    # pfedit /etc/default/inetinit
# TCP_STRONG_ISS=1
TCP_STRONG_ISS=2
  2. Réinitialisez le système.
    # /usr/sbin/reboot

Prévention des redirections ICMP

Les routeurs utilisent les messages de redirection ICMP afin d'informer les hôtes de l'existence de routes plus directes vers une destination. Un message de redirection ICMP illicite risque de provoquer une attaque Man-in-the-middle.

Avant de commencer

Vous devez vous connecter en tant qu'administrateur disposant du profil de droits Network Management (gestion du réseau). Pour plus d'informations, reportez-vous à la section Utilisation de vos droits d’administration du manuel Administration d’Oracle Solaris 11.1 : Services de sécurité.

  1. Définissez sur 1 la propriété ignorer les réacheminements, puis contrôlez la valeur en cours.

    Les messages de redirection ICMP modifient la table de routage de l'hôte et ne sont pas authentifiés. En outre, le traitement de paquets redirigés augmente la sollicitation de la CPU des systèmes.

    # ipadm set-prop -p _ignore_redirect=1 ipv4
# ipadm set-prop -p _ignore_redirect=1 ipv6
# ipadm show-prop -p _ignore_redirect ipv4
PROTO  PROPERTY         PERM CURRENT   PERSISTENT   DEFAULT   POSSIBLE
ipv4  _ignore_redirect  rw   1         1            0         0,1
# ipadm show-prop -p _ignore_redirect ipv6
PROTO  PROPERTY         PERM CURRENT   PERSISTENT   DEFAULT   POSSIBLE
ipv6  _ignore_redirect  rw   1         1            0         0,1
  2. Empêchez l'envoi de messages de redirection ICMP.

    Les messages de ce type incluent des informations issues de la table de routage qui peuvent révéler une partie de la topologie du réseau.

    # ipadm set-prop -p _send_redirects=0 ipv4
# ipadm set-prop -p _send_redirects=0 ipv6
# ipadm show-prop -p _send_redirects ipv4
PROTO PROPERTY          PERM CURRENT  PERSISTENT   DEFAULT  POSSIBLE
ipv4  _send_redirects   rw   0        0            1        0,1

# ipadm show-prop -p _send_redirects ipv6
PROTO  PROPERTY        PERM CURRENT   PERSISTENT   DEFAULT  POSSIBLE
ipv6  _send_redirects  rw   0         0            1        0,1

    Pour plus d'informations, reportez-vous à la section _send_redirects (ipv4 ou ipv6) du manuel Manuel de référence des paramètres réglables Oracle Solaris 11.1 et à la page de manuel ipadm(1M).

Réinitialisation des paramètres réseau sur des valeurs sécurisées

De nombreux paramètres réseau, sécurisés par défaut, sont réglables et peuvent donc avoir été modifiés. Si les conditions du site le permettent, restaurez les valeurs par défaut des paramètres réglables suivants.

Avant de commencer

Vous devez vous connecter en tant qu'administrateur disposant du profil de droits Network Management (gestion du réseau). Pour plus d'informations, reportez-vous à la section Utilisation de vos droits d’administration du manuel Administration d’Oracle Solaris 11.1 : Services de sécurité.

  1. Définissez sur 0 la propriété de transfert des packages source pour les paquets IP, puis contrôlez la valeur en cours.

    La valeur par défaut empêche les attaques par déni de service provenant de paquets falsifiés. 

    # ipadm set-prop -p _forward_src_routed=0 ipv4
# ipadm set-prop -p _forward_src_routed=0 ipv6
# ipadm show-prop -p _forward_src_routed ipv4
PROTO  PROPERTY             PERM CURRENT   PERSISTENT   DEFAULT   POSSIBLE
ipv4  _forward_src_routed   rw   0         --           0         0,1
# ipadm show-prop -p _forward_src_routed ipv6
PROTO  PROPERTY             PERM CURRENT   PERSISTENT   DEFAULT   POSSIBLE
ipv6  _forward_src_routed   rw   0         --           0         0,1

    Pour plus d'informations, reportez-vous à la section forwarding (ipv4 ou ipv6) du manuel Manuel de référence des paramètres réglables Oracle Solaris 11.1.

  2. Définissez sur 0 la propriété de réponse netmask pour les paquets IP, puis contrôlez la valeur en cours.

    La valeur par défaut empêche la diffusion d'informations sur la topologie du réseau. 

    # ipadm set-prop -p _respond_to_address_mask_broadcast=0 ip
# ipadm show-prop -p _respond_to_address_mask_broadcast ip
PROTO PROPERTY                           PERM CURRENT   PERSISTENT   DEFAULT   POSSIBLE
ip    _respond_to_address_mask_broadcast rw   0         --           0         0,1
  3. Définissez sur 0 la propriété de réponse de l'horodatage pour les paquets IP, puis contrôlez la valeur en cours.

    La valeur par défaut supprime les demandes supplémentaires des unités centrales par rapport aux systèmes et empêche la diffusion d'informations sur le réseau. 

    # ipadm set-prop -p _respond_to_timestamp=0 ip
# ipadm show-prop -p _respond_to_timestamp ip
PROTO  PROPERTY                        PERM CURRENT   PERSISTENT   DEFAULT   POSSIBLE
ip    _respond_to_timestamp            rw   0         --           0         0,1
  4. Définissez sur 0 la propriété de réponse de diffusion de l'horodatage pour les paquets IP, puis contrôlez la valeur en cours.

    La valeur par défaut supprime les demandes supplémentaires des unités centrales par rapport aux systèmes et empêche la diffusion d'informations sur le réseau. 

    # ipadm set-prop -p _respond_to_timestamp_broadcast=0 ip
# ipadm show-prop -p _respond_to_timestamp_broadcast ip
PROTO  PROPERTY                        PERM CURRENT   PERSISTENT   DEFAULT   POSSIBLE
ip    _respond_to_timestamp_broadcast  rw   0         --           0         0,1
  5. Empêchez le routage IP par la source.

    La valeur par défaut empêche les paquets de passer outre les mesures de sécurité du réseau. Les paquets routés par la source autorisent la source du paquet à suggérer un chemin différent du chemin configuré sur le routeur.

    Remarque - Ce paramètre peut être défini sur 1 à des fins de diagnostic. Une fois le diagnostic terminé, revenez à la valeur 0.

    # ipadm set-prop -p _rev_src_routes=0 tcp
# ipadm show-prop -p _rev_src_routes tcp
PROTO PROPERTY          PERM CURRENT  PERSISTENT  DEFAULT  POSSIBLE
tcp   _rev_src_routes   rw   0        --          0        0,1

    Pour plus d'informations, reportez-vous à la section _rev_src_routes du manuel Manuel de référence des paramètres réglables Oracle Solaris 11.1.

Voir aussi

Page de manuel ipadm(1M)

Copyright © 1999, 2013, Oracle et/ou ses affiliés. Tous droits réservés. Notice légale
Précédent Suivant