<!-- CVS revision of original english document "1.12" -->

<chapt id="sec-tools">Outils de scurit dans Debian

<p>FIXME: Besoin de plus de contenu

<p>
Debian fournit aussi un certain nombre d'outils de scurit qui peuvent faire de 
votre Debian une machine dont le but serait de raliser des tests de scurit.
Ce but inclut la protection des systmes d'information au travers de pare-feu
(soit au niveau des paquets, soit au niveau des application), de dtection
d'intrusion (bas sur le rseau et sur l'hte), valuation des vulnrabilits,
antivirus, rseau priv, etc.

<p>Depuis Debian 3.0 (<em>woody</em>), la distribution propose des logiciels de
chiffrage intgrs dans la distribution principale (<em>main</em>). OpenSSH et
GNU Privacy Guard sont inclus dans l'installation par dfaut et le chiffrage
fort est maintenant prsent dans les navigateurs web, les serveurs webs, les
bases de donnes, etc. Une intgration plus pousse du chiffrage est prvue pour
des versions ultrieures. Ces logiciels,  cause de restrictions d'export au
tats-Unis, n'taient pas distribues avec la distribution principale, mais
inclus seulement dans les sites non-US.

<sect id="vuln-asses">Outils d'valuation des vulnrabilits  distances

<p>Les outils fournis dans Debian pour effectuer une valuation des 
vulnrabilits  distance sont&nbsp;:
<footnote>
Certains d'entre eux sont fournis en installant le paquet <package>harden-remoteaudit</package>.
</footnote>
<list>
<item><package>nessus</package>
<item><package>raccess</package>
<item><package>nikto</package> (en remplacement de <prgn>whisker</prgn>)
</list>

<p>De loin, l'outil le plus complet et mis  jour est <package>nessus</package>
qui est compos d'un client (<package>nessus</package>) utilis tel un GUI  
et un serveur (<package>nessusd</package>) qui lance les attaques programmes.
Nessus inclut des vulnrabilits  distance pour un grand nombre de systmes 
incluant les appareils rseaux, les serveurs ftp, les serveurs www, etc. Les 
dernires versions sont capables mme de parcourir un site web et d'essayer de 
dcouvrir les pages interactives qui sont susceptibles d'tre attaques. Il 
existe galement des clients Java et Win32 (non inclus dans Debian) qui peuvent 
tre utiliss pour contacter le serveur de gestion.

<p>Notez que si vous utilisez <em>Woody</em>, les paquets Nessus sont vraiment
obsoltes (voir le bogue <url id="http://bugs.debian.org/183524"
name="#183524">). Il n'est pas difficile de rtroporter les paquets disponibles
dans <em>unstable</em> pour <em>Woody</em>, mais si vous trouvez que c'est
difficile  faire, vous pouvez vouloir considrer l'utilisation de paquets
rtroports fournis par l'un des coresponsables et disponibles  <url
id="http://people.debian.org/~jfs/nessus/"> (ces versions peuvent ne pas tre
aussi  jour que les versions disponibles dans <em>unstable</em>).

<p><package>Nikto</package> est un scanner pour valuer les vulnrabilits 
de serveur web uniquement et qui inclut aussi des tactiques anti-IDS (la plupart 
ne sont plus des <em>anti-IDS</em>). C'est un des meilleurs scanners pour 
cgi disponible, tant capable de dtecter des serveurs web et de lancer un 
assortiment d'attaques contre lui. La base de donne utilise pour scanner 
peut tre facilement modifie pour fournir de nouvelles informations.

<sect>Outils pour parcourir le rseau

<p>
Debian fournit quelques outils pour parcourir des htes distants (toutefois 
en n'examinant pas les vulnrabilits). Ces outils sont, dans certains cas,
utiliss tels des scanners de vulnrabilits. Ceci est le premier type d'&nbsp;attaque&nbsp;
lanc contre des htes distants afin de tenter de dterminer les services 
disponibles.  l'heure actuelle, Debian fournit&nbsp;:

<list>
<item><package>nmap</package>
<item><package>xprobe</package>
<item><package>knocker</package>
<item><package>isic</package>
<item><package>hping2</package>
<item><package>icmpush</package>
<item><package>nbtscan</package> (pour audits SMB /NetBIOS)
<item><package>fragrouter</package>
<item><prgn>strobe</prgn> (dans le paquet <package>netdiag</package>)
<item><package>irpas</package>
</list>

<!--
Ettercap n'est pas inclus car c'est un outil d'espionnage et non une sonde  distance
-->

<p>
Tandis que <package>queso</package> et <package>xprobe</package> fournissent 
uniquement la dtection des systmes d'exploitations (en utilisant les empreintes
TCP/IP) <footnote>Cependant, la base de donnes des impreintes de
<prgn>Queso</prgn> est plutt ancienne</footnote>),
<package>nmap</package> et <package>knocker</package> font les deux, la 
dtection du systme d'exploitation et la dtection de ports ouverts sur les htes 
distants. D'un autre ct, <package>hping2</package> et <package>icmpush</package> peuvent tre utiliss pour des techniques d'attaques distantes ICMP.

<p>
Cr spcifiquement pour les rseaux SMB, <package>nbtscan</package>
peut tre utilis pour scanner des rseaux IP et retrouver des informations 
sur les noms de serveurs ayant le SMB d'activ, ceci incluant&nbsp;: les noms 
d'utilisateurs, les noms des rseaux, les adresses MAC, ...

<p>D'un autre ct, <package>fragrouter</package> peut tre utilis pour tester
des systmes de dtection d'intrusion rseau et voir si le NIDS peut tre lud
par des attaques par fragmentation (de paquets).

<p>FIXME: Vrifier <url id="http://bugs.debian.org/153117" name="Bug
#153117"> (ITP fragrouter) pour voir s'il est inclus.

<p>FIXME: ajouter des informations bases sur
<url id="http://www.giac.org/practical/gcux/Stephanie_Thomas_GCUX.pdf"
name="Debian Linux Laptop for Road Warriors"> qui dcrit comment utiliser Debian
et un ordinateur portable pour parcourir les rseaux sans fils (803.1). (Le lien
n'est plus l).

<sect>Audits internes

<p>
De nos jours, seul l'outil <package>tiger</package> utilis dans Debian peut
tre utilis pour effectuer un audit interne (galement appel bote blanche 
(white box)) d'htes de faon  dterminer si le systme de fichiers est 
install correctement, quels processus sont  l'coute sur l'hte, etc...

<sect>Contrle du code source
<p>
Debian fournit trois paquets qui peuvent tre utiliss pour contrler le code 
source de programmes C/C++ et trouver les erreurs de programmation qui 
peuvent mener  de potentielles fautes de scurit&nbsp;:
<list>
<item>flawfinder
<item>rats
<item>splint
</list>

<sect id="vpn">Rseaux Privs Virtuels 

<p>Un rseau priv virtuel (VPN) est un groupe de deux ou plusieurs ordinateurs,
habituellement connect  un rseau priv avec un accs rseau public limit,
qui communiquent de faon scurise <em>via</em> un rseau public. Les VPN peuvent
connecter un seul ordinateur  un rseau priv (client-serveur) ou un rseau
local (LAN) distant  un rseau priv (serveur-serveur). Les VPN incluent
souvent l'utilisation du chiffrage, une authentification forte des utilisateurs
ou htes distants et des mthodes pour cacher la topologie du rseau priv.

<p>Debian fournit un nombre assez important de paquets pour mettre en place 
des rseaux privs virtuels chiffrs&nbsp;:

<list>

<item><package>vtun</package>
<item><package>tunnelv</package> (section non-US)
<item><package>cipe-source</package>, <package>cipe-common</package>
<item><package>tinc</package>
<item><package>secvpn</package>
<item><package>pptp</package>
<item><package>freeswan</package>, qui est maintenant obsolte et remplac par
<item><package>openswan</package> (<url id="http://www.openswan.org/">)

</list>

<P>FIXME: Mettre  jour cette information car elle a t crite en pensant 
FreeSWAN. Vrifier le bogue #237764 et le Message-Id: 
&lt;200412101215.04040.rmayr@debian.org&gt;.

<p>Le paquet OpenSWAN est probablement le meilleur choix dans l'ensemble tant donn
qu'il promet d'tre fonctionnel avec tout matriel supportant le protocole de
scurit d'IP, IPsec (RFC 2411). Mais, les autres paquets peuvent vous aider 
obtenir un tunnel scuris rapidement. Le protocole de tunnel point  point
(PPTP) est le protocole propritaire Microsoft pour les VPN. Il est support
sous Linux mais il est connu pour avoir de srieux problmes de scurit.

<p>Pour plus d'informations lire le <url
id="http://www.linuxdoc.org/HOWTO/VPN-Masquerade-HOWTO.html"name="VPN-Masquerade
HOWTO"> (couvre IPsec et PPTP), le <url
id="http://www.linuxdoc.org/HOWTO/VPN-HOWTO.html"name="VPN HOWTO">
(couvre PPP  travers SSH), le <url
id="http://www.linuxdoc.org/HOWTO/mini/Cipe+Masq.html" name="Cipe
mini-HOWTO"> et le <url
id="http://www.linuxdoc.org/HOWTO/mini/ppp-ssh/index.html"name="PPP
and SSH mini-HOWTO">.

<p>Cela vaut galement le coup de vrifier
<url id="http://yavipin.sourceforge.net/" name="Yavipin">, mais aucun paquet
Debian GNU ne semble tre encore disponible.

<sect1>Le tunnel point  point

<p>Si vous dsirez fournir un serveur de tunnel pour un environnement mixte (
la fois pour les systmes d'exploitations Microsoft et les clients Linux) et
qu'IPsec n'est pas une option (car il n'est fourni que pour Windows 2000 et
Windows XP), vous pouvez utiliser <em>PoPToP</em> (serveur de tunnel point  point),
fourni dans le paquet <package>pptpd</package>.

<p>Si vous voulez utiliser l'authentification et le chiffrage de Microsoft avec
le serveur fourni dans le paquet <package>ppp</package>, veuillez noter la
remarque suivante de la FAQ&nbsp;:

<example>
Il est seulement ncessaire d'utiliser PPP 2.3.8 si vous voulez une
authentification et un chiffrage compatible Microsoft MSCHAPv2/MPPE.
La raison  cela est que le correctif MSCHAPv2/MPPE actuellement
fourni (19990813) est relatif  PPP 2.3.8. Si vous n'avez pas besoin
de l'authentification ou du chiffrage compatible Microsoft, tout
source PPP 2.3.x fera l'affaire.
</example>

<p>Vous devez cependant appliquer le correctif noyau fourni par le paquet
<package>kernel-patch-mppe</package> qui fournit le module pp_mppe pour pppd.

<p>Prenez galement en compte que le chiffrage dans pptp vous force  stocker les
mots de passe utilisateur en clair et que le protocole MS-CHAPv2 contient des
<url id="http://mopo.informatik.uni-freiburg.de/pptp_mschapv2/"
name="failles de scurit connues">.


<sect>Infrastructure de cl public (PKI)

<p>L'infrastructure de cl public (PKI) est une architecture de scurit
introduite pour fournir un niveau de confiance amlior lors de l'change
d'informations sur des rseaux non scuriss. Elle utilise le concept de cls
publics et privs de chiffrage pour vrifier l'identit de l'expditeur
(signature) et pour garantir la confidentialit (chiffrage).

<p>Lorsque vous vous intressez aux PKI, vous vous trouvez confront  une grande varit d'outils&nbsp;:

<list>
<item>Une autorit de certificat (CA) qui peut vous fournir des certificats extrieurs et 
travailler sous une hirarchie donne

<item>Un rpertoire pour conserver les certificats publics des utilisateurs 

<item>Une base de donnes (?) pour maintenir les listes des certificats rvoqus (CRL)

<item>Des priphriques interoprant avec le CA pour diter
des cartes  puce/jetons USB/n'importe quoi d'autre pour stocker les certificats
en scurit

<item>Les applications prvues pour fonctionner avec des certificats de
confiance peuvent utiliser des certificats distribus par
des CA pour engager une communication chiffre et vrifier les certificats
dlivrs contre un CRL (pour l'authentification et les solutions de signature
complte unique)

<item>Une autorit estampille pour les documents signs numriquement

<item>Une console de gestion permettant une gestion correcte de tout cela
(gnration de certificat, contrle de liste de rvocation, etc...)

</list>

<p>Debian GNU/Linux contient des paquets logiciels pour vous aider  rsoudre
ces problmes de PKI. Cela inclut <prgn>Openssl</prgn> (pour la gnration
de certificats), <prgn>OpenLDAP</prgn> (comme rpertoire pour maintenir les certificats), <prgn>gnupg</prgn>
et <prgn>openswan</prgn> (avec le support standard X.509). Cependant, le systme
d'exploitation ne fournit pas (comme dans la version Woody, Debian 3.0)
d'autorit de dlivrance de certificat librement disponible comme pyCA, <url
id="http://www.openca.org" name="OpenCA"> ou les exemples CA d'OpenSSL. 
Pour plus d'information, reportez-vous au <url
id="http://ospkme ibook.sourceforge.net/" name="livre Open PKI">.

<sect>Infrastructure SSL

<p>Debian fournit quelques certificats SSL avec la distribution pour qu'ils
puissent tre installs localement. Ils sont disponibles dans le paquet
<package>ca-certificates</package>. Ce paquet fournit un dpt central des
certificats qui ont t soumis  Debian et approuv (c.--d. vrifis) par le
responsable du paquet, cela est utile pour toutes les applications OpenSSL qui
vrifient des connexion SSL.

<p>FIXME: lire debian-devel pour voir s'il y a quelque chose  ajouter  cela.

<sect>Outils antivirus 

<p>
Il n'y a pas beaucoup d'outils antivirus dans Debian GNU/Linux, probablement 
car les utilisateurs de GNU/Linux ne sont pas rellement submergs par 
les virus. Le modle de scurit UN*X fait une distinction entre les processus
privilgis (root) et les processus appartenant aux utilisateurs, c'est pourquoi
un excutable &nbsp;hostile&nbsp; reu ou cr par un utilisateur et ensuite
excut par celui-ci ne peut pas &nbsp;infecter&nbsp; ou manipuler de tout
autre manire le systme entier. Il y a eu, toutefois, des vers et virus pour GNU/Linux mme 
s'il n'y pas (encore) eu de virus qui se soient tendus sur les 
distributions Debian. Dans tous les cas, les administrateurs peuvent 
vouloir mettre en place des passerelles antivirus pour se protger contre les
virus affectant d'autres systmes plus vulnrables dans leur rseau.

<p>Debian GNU/Linux fournit  l'heure actuelle les outils suivants pour mettre 
en place des environnements antivirus&nbsp;:
<list>

<item><url id="http://www.clamav.net" name="Clam Antivirus">,
est fourni dans Debian <em>Sarge</em> (future version&nbsp;3.1). Des paquets
sont fournis  la fois pour le scanneur de virus (<package>clamav</package>),
pour le dmon de scan (<package>clamav-daemon</package>) et pour les fichiers de
donnes ncessaires au scanneur. Comme conserver un antivirus  jour est
critique pour qu'il fonctionne correctement, il y a deux moyens diffrents pour
rcuprer ces donnes&nbsp;: <package>clamav-freshclam</package> fournit un
moyen de mettre  jour la base de donnes automatiquement par l'Internet et
<package>clamav-data</package> qui fournit les fichiers de donnes directement.
<footnote>Si vous utilisez ce dernier paquet et que vous utilisez une Debian
officielle, la base de donnes ne sera pas mise  jour avec les mises  jour de
scurit. Vous devrez soit utiliser <prgn>clamav-getfiles</prgn> du paquet
<package>clamav-freshclam</package> pour gnrer de nouveaux
<package>clamav-data</package> ou mettre  jour  partir de l'emplacement des
responsables&nbsp;:
<example>
  deb http://people.debian.org/~zugschlus/clamav-data/ /
  deb-src http://people.debian.org/~zugschlus/clamav-data/ /
</example>
</footnote>

<item><package>mailscanner</package> un scanneur de virus pour passerelle de
courriels et un dtecteur de pourriels. Utilisant <package>sendmail</package> ou
<package>exim</package> comme sa base, il peut utiliser plus de 17&nbsp;moteurs
de scan de virus diffrents (y compris <package>clamav</package>)

<item><package>libfile-scan-perl</package> qui fournit File::Scan,
une extension Perl pour scanner des fichiers  la recherche de virus. Ce module
peut tre utilis pour crer un scanneur de virus indpendant de la plate-forme.

<item><url id="http://www.sourceforge.net/projects/amavis"
name="Amavis Next Generation">, fourni dans le paquet
<package>amavis-ng</package> et disponible dans <em>Sarge</em>, est un scanneur
de virus de courriel qui s'intgre avec diffrents serveurs de courriers (Exim,
Sendmail, Postfix ou Qmail) et gre plus de quinz moteurs de scan de virus (y
compris clamav, File::Scan et openantivirus).

<item><url id="http://packages.debian.org/sanitizer" name="sanitizer">, un outil
qui utilise le paquet <package>procmail</package>, qui peut filtrer les
attachements de courrier, bloquer les attachements selon leurs noms de fichier
et plus.

<item><url id="http://packages.debian.org/amavis-postfix" name="amavis-postfix">, un
script qui fournit une interface depuis un MTA vers un ou plusieurs scanners commerciaux de 
virus (ce paquet est seulement construit pour le MTA <prgn>postfix</prgn>).

<item><package>exiscan</package>, un scanneur de virus de courriel crit en Perl
qui fonctionne avec Exim.

<item><package>sanitizer</package>, un scanneur pour courriel qui peut supprimer
des attachements potentiellement dangereux.

<item><package>blackhole-qmail</package>, un filtre de pourriel pour Qmail avec
prise en charge intgre pour Clamav.
</list>

<p>Certains dmons de passerelle proposent dj des extensions d'outils pour
construire des environnements antivirus comprenant
<package>exim4-daemon-heavy</package> (la version <em>lourde</em> du MTA Exim),
<package>frox</package> (un serveur mandataire FTP de cache transparent),
<package>messagewall</package> (un dmon mandataire SMTP) et
<package>pop3vscan</package> (un mandataire POP3 transparent).

<p>
Comme vous pouvez le voir, Debian ne fournit pas  l'heure actuelle de logiciel 
de scan antivirus dans la distribution officielle principale (3.0 au moment de
cette criture), mais il fournit des interfaces multiples pour construire des
antivirus de passerelle. Le scanneur <package>clamav</package> sera fourni dans
la prochaine version officielle.

<p>D'autres projets de logiciels libres d'antivirus qui pourraient tre inclus
dans une future version de Debian GNU/Linux&nbsp;:

<list>

<item><url id="http://sourceforge.net/projects/openantivirus/" name="Open
Antivirus"> (voir 
<url
id="http://bugs.debian.org/150698" name="Bug #150698 (ITP oav-scannerdaemon)"> 
et <url id="http://bugs.debian.org/150695" name="Bug #150695 (ITP oav-update)">).

</list>

<p>FIXME: Y a-t-il un paquet fournissant un script qui tlcharge les
dernires signatures de virus depuis <url
id="http://www.openantivirus.org/latest.php">&nbsp;?


<p>FIXME: Vrifier si scannerdaemon est le mme que le dmon scanner antivirus
open (lire les ITPs).

<p>
Cependant, Debian ne fournira <em>jamais</em> des logiciels antivirus commerciaux tels que&nbsp;:
Panda Antivirus,
<!--
<url id="http://www.pandasoftware.com/com/linux/linux.asp" name="Panda Antivirus">,
<url id="http://www.nai.com/naicommon/buy-try/try/products-evals.asp" name="NAI Netshield (uvscan)">,
-->
NAI Netshield,
<url id="http://www.sophos.com/" name="Sophos Sweep">,
<url id="http://www.antivirus.com" name="TrendMicro Interscan"> ou
<url id="http://www.ravantivirus.com" name="RAV">.
Pour plus d'infos, voir la <url id="http://www.computer-networking.de/~link/security/av-linux_e.txt"
name="mini-FAQ logiciels antivirus pour Linux">. Cela ne veut pas dire que ces
logiciels ne peuvent pas tre installs correctement sur un systme Debian.

<p>Pour plus d'informations sur la faon de mettre en place un systme de
dtection des virus, veuillez lire l'article de Dave Jones <url
id="http://www.linuxjournal.com/article.php?sid=4882" name="Construire un
	    systme de dtection des virus des courriels pour votre rseau">.

<sect id="gpg-agent">Agent GPG

<p>Il est trs courant de nos jours de signer numriquement (et parfois de
chiffrer) des courriels. Vous pouvez, par exemple, trouver que de nombreuses
personnes participant sur des listes de diffusion signent leur courriel de la
liste. Les signatures de cl public sont actuellement le seul moyen de vrifier
qu'un courriel a t envoy par l'expditeur et non par une autre personne.

<p>Debian GNU/Linux fournit un certain nombre de clients de messagerie avec des
fonctionnalit de signature de courriels intgrs qui interagissent soit avec
<package>gnupg</package> ou avec <package>pgp</package>&nbsp;:

<list>
<item><package>evolution</package>,
<item><package>mutt</package>,
<item><package>kmail</package>,
<item><package>mozilla</package> ou Thunderbird (fourni dans le paquet
<package>mozilla-thunderbird</package>) si le greffon <url
id="http://enigmail.mozdev.org/" name="Enigmail"> est install, lequel
est fourni par <package>mozilla-enigmail</package> et par
<package>mozilla-thunderbird-enigmail</package>.

<item><package>sylpheed</package>. Selon la faon dont volue la version stable
de ce paquet, vous pouvez avoir besoin d'utilise la <em>version dernier
cri</em>, <package>sylpheed-claws</package>.

<item><package>gnus</package>, qui, lorsqu'il est install avec le paquet
<package>mailcrypt</package>, est une interface <prgn>emacs</prgn>
 <prgn>gnupg</prgn>.

<item><package>kuvert</package>, qui fournit cette fonctionnalit indpendamment
de votre client de messagerie choisi en interagissant avec l'agent de transport
de courrier (MTA).

</list>

<p>Les serveurs de cl vous permettent de tlcharger des cls publiques publies
pour pouvoir vrifier des signatures. Un tel serveur est <url
id="http://wwwkeys.pgp.net">. <package>gnupg</package> peut rcuprer
automatiquement des cls publics qui ne sont pas dj dans votre porte-cls
(keyring) public. Par exemple, pour configurer <prgn>gnupg</prgn> pour utiliser
le serveur de cls ci-dessus, ditez le fichier <file>~/.gnupg/options</file> et
ajoutez la ligne suivante&nbsp;:

<footnote>
Pour plus d'exemples sur la faon de configurer <prgn>gnupg</prgn>, consultez
<file>/usr/share/doc/mutt/examples/gpg.rc</file>.
</footnote>
<example>
keyserver wwwkeys.pgp.net
</example>

<p>La plupart des serveurs de cls sont lis afin que, quand votre cl publique
est ajoute  un serveur, l'addition soit propage  tous les autres serveurs de
cls publiques. Il existe galement un paquet Debian GNU/Linux
<package>debian-keyring</package> fournissant les cls publiques des
dveloppeurs Debian. Les portes-cls <prgn>gnupg</prgn> sont installs dans
<file>/usr/share/keyrings/</file>.

<p>Pour plus d'informations&nbsp;:

<list>

<item><url ID="http://www.gnupg.org/faq.html" name="GnuPG FAQ">.

<item><url ID="http://www.gnupg.org/gph/en/manual.html" name="GnuPG
Handbook">.

<item><url
ID="http://www.dewinter.com/gnupg_howto/english/GPGMiniHowto.html"
name="GnuPG Mini Howto (English)">.

<item><url ID="http://www.uk.pgp.net/pgpnet/pgp-faq/"
name="comp.security.pgp FAQ">.

<item><url ID="http://www.cryptnet.net/fdp/crypto/gpg-party.html"
name="Keysigning Party HOWTO">.

</list>