#1 Sécuriser son serveur : la pile TCP/IP

Ghostbusters.1920x1080

Même s’il la pile TCP/IP des systèmes GNU/Linux est réputée comme étant très stable et sécurisée, cela ne nous dispense pas d’appliquer le principe de précaution afin d’éviter certaines attaques basiques comme le DOS… En effet, la configuration de base des outils utilisés par cette pile son souvent trop permissives pour un serveur de production…

Bien maîtrisée et bien comprise, la sécurité de votre serveur ne peut qu’être un atout afin de garantir la robustesse et la pérennité de votre installation !

Mais d’abord, qu’est-ce que la pile TCP/IP ?

Ce nom désigne en fait les différents protocoles utilisés par Internet. Ils sont représentés par le modèle OSI sous forme d’une pile de sept couches, qui ressemble à ceci :

Modèle ISO

Je ne vais pas m’étaler là-dessus car là n’est pas le but de l’article. Si vous cherchez plus d’informations, vous connaissez le chemin !

Les conseils

Nos modifications concernent principalement le fichier /etc/sysctl.conf, qui n’est autre que, sous Debian, le fichier qui permet de configurer la couche réseau. Par défaut, il ressemble à ceci :

#
# /etc/sysctl.conf - Configuration file for setting system variables
#

Et oui il n’y a rien, ou alors tout est commenté… Nous allons ajouter quelques règles pour :

  • Ignorer certains messages ICMP (ICMP Redirect, ICMP Echo Request, ICMP Ignore Bogus Response).
  • Surveiller certains messages.
  • Pour nous protéger de certaines attaques basiques mais pouvant faire beaucoup de dégâts…

Voici ce que je vous propose :

# On se protège de l'IP Spoofng (vol d'IP) :
	net.ipv4.conf.all.rp_filter = 1
 
# On se protège des attaques 'SYN Flood' (DOS) :
	net.ipv4.tcp_syncookies = 1
 
# Ignorer les messages 'ICMP Redirects' :
	net.ipv4.conf.all.accept_redirects = 0
	net.ipv6.conf.all.accept_redirects = 0
 
# Interdire 'Source Routing' :
	net.ipv4.conf.all.accept_source_route = 0
	net.ipv6.conf.all.accept_source_route = 0
 
# Surveiller 'martians' (adresse source falsifiée ou non routable) :
	net.ipv4.conf.all.log_martians = 1
 
# Ignorer les messages 'ICMP Echo Request' (ping) :
	net.ipv4.icmp_echo_ignore_broadcasts = 1
	net.ipv4.icmp_echo_ignore_all = 1
 
# Ignorer les messages 'ICMP Bogus Responses' :
	net.ipv4.icmp_ignore_bogus_error_responses = 1
 
# 1024 connexions non confirmées max, limite le SYN flood
	net.ipv4.tcp_max_syn_backlog = 1024

Voilà un bon début pour se protéger de certaines attaques simples mais redoutables. Néanmoins sachez que ce premier tutoriel est, comme son nom l’indique, le premier, et que nous avons encore beaucoup d’éléments à voir afin de protéger notre installation en profondeur.

Sources : bobotig.fr et memoire-grise-liberee. wlppr.com pour l’image.

Cet article vous a plu ? Partagez-le sur les réseaux sociaux !

Twitter Facebook Google Plus email