Services Internet

4 Services Internet

Dans cette section, vous êtes amenés à sécuriser des services Internet.

4.1 Serveur SSH

Votre machine virtuelle Xen et votre eeePC doivent être accessible par SSH.

4.2 Serveur DNS

Vous allez réserver votre nom de domaine pour associer un nom DNS à chacune de vos adresses IP (les zones inverses doivent, elles aussi, être gérées). Il est suggéré d'utiliser le registrar Gandi (http://www.gandi.net). Une fois le nom de domaine reservé, configurez bind (paquetage bind9) sur votre serveur virtuel Xen pour donner les adresses correspondant à votre nom de réseau IP, au nom de votre interface de routeur, au nom de votre machine et au nom de l'adresse de diffusion de votre réseau IP. Utilisez l'interface web de votre fournisseur pour paramétrer votre machine comme serveur DNS maître (utilisez la machine d'un binôme ou une machine de votre fournisseur comme DNS esclave). Par la suite mettez en place vos zones inverses qui permettent de trouver vos noms en fonction de vos adresses IP. C'est le serveur DNS de l'école qui va vous déléguer ces zones inverses, vous donnerez les RR à ajouter pour réaliser la délégation.

4.3 Sécurisation de site web par certificat

Sur la machine virtuelle, configurez apache2 (paquetage du même nom) en mode sécurisé à l'aide d'une clef asymétrique et d'un certificat signé par une autorité de certification (CA). Comme CA, il est conseillé d'utiliser aussi Gandi. Le CA signe un CSR (Certificate Signing Request), vous allez créer vos clefs et le CSR en utilisant openssl (vous pouvez vous aider du Wiki de Gandi). Une fois le CSR signé par le CA et donc transformé en un certificat vous pourrez configurer apache2 pour gérer du HTTPS sur le port 443. Dans la définition du serveur virtuel pour ce port, il faut insérer la ligne de configuration SSLEngine on. Il faut aussi préciser où se trouve la clef privée du serveur via le mot clef SSLCertificateKeyFile et où se trouve le certificat via le mot clef SSLCertificateFile. Il est aussi conseillé de définir la chaîne de certification avec SSLCertificateChainFile.

4.4 Sécurisation de serveur DNS par DNSSEC

Sécurisez votre serveur DNS en signant la zone correspondant à votre nom de domaine. Vous pouvez vous appuyer sur le document http://www.bortzmeyer.org/jres-dnssec-2009.html pour réaliser la sécurisation. Testez votre configuration avec l'option DNSSEC de l'outil http://www.zonecheck.fr.

Pour entrer dans les détails, vous allez devoir effectuer les opération suivantes.

ajoutez l'option dnssec-enable yes; dans le fichier named.conf.options ;
il est conseillé de créer un répertoire de nom <nom_de_zone>.dnssec pour y générer les clefs ;
créez la clef asymétrique de signature de clefs de zone (pour accélerer la génération sur un système de test vous pouvez utiliser l'option -r /dev/urandom) ;
```
dnssec-keygen -a RSASHA1 -b 2048 -f KSK -n ZONE <nom_de_zone>
  
```
créez la clef asymétrique de la zone pour signer les enregistrements (pour accélerer la génération sur un système de test vous pouvez utiliser l'option -r /dev/urandom) ;
```
dnssec-keygen -a RSASHA1 -b 1024 -n ZONE <nom_de_zone>
  
```
renommez les deux paires de clefs obtenues en utilisant le nom de la zone comme préfixe puis en suffixant d'abord par la destination de la clef (-ksk pour la KSK ou -zsh pour la ZSK) puis par le type de clef (.key pour la clef publique ou .private pour la clef privée) ;

incluez les clefs publiques dans votre fichier de zone, incrémentez le numéro de version de la zone ;

$include /etc/bind/<nom_de_zone>.dnssec/<nom_de_zone>-ksk.key
$include /etc/bind/<nom_de_zone>.dnssec/<nom_de_zone>-zsk.key

signez les enregistrements de la zone ;

dnssec-signzone -o <nom_de_zone> -k <nom_de_zone>-ksk ../<nom_de_zone> <nom_de_zone>-zsk

modifiez le fichier named.conf.local pour utiliser la zone signée de suffixe .signed ;
il ne reste plus qu'à communiquer la partie publique de la KSK (présente dans le fichier <nom_de_zone>-ksk.key) à votre registrar (par exemple gandi.net, regardez à "Manage DNSSEC" dans la section "DNS servers").