L’INFORMATICIEN n° 023 http://www.linformaticien.fr

par Gilles LE PIGOCHER - gilles.lepigocher@linformaticien.fr

ASP Serveur est leader français dans les solutions d’hébergement utilisant les technologies Microsoft. Son directeur technique, Sébastien Enderlé, nous livre quelques conseils de base pour sécuriser un serveur sous Windows.

Les services packs et autres mises à jour de sécurité doivent-ils être déployées en production ?
Sébastien Enderlé : Absolument, en mode installation automatique tous les jours à 3h00 par exemple. Contrairement à ce que l’on dit, il est extrêmement rare qu’un programme serveur cesse de fonctionner après une mise à jour MS Windows. Si tel était le cas, cela prouverait simplement que le programme en question n’était pas vraiment validé pour Windows.

Les entreprises qui en ont les moyens peuvent aussi utiliser un serveur de pré-production, et déployer les mises à jour sur celui-ci avant leur installation définitive sur le serveur en production.

Quel type de protection anti-virus recommandez-vous ?
S. E. : Il faut utiliser un anti-virus adapté ! Les anti-virus vendus pour les stations de travail ne sont pas forcément utilisables sur les serveurs. Un anti-virus adapté aux serveurs doit posséder trois qualités spécifiques en plus du taux de détection et d’éradication :
1 - pouvoir s’installer en tant que service Windows ;
2 - ne pas être gourmand en processus (mémoire et processeur) ;
3 - être extrêmement rapide.
Nous préconisons AVG 7 édition serveur de fichiers.

On reproche souvent à IIS de ne pas être sécurisé : comment préparez-vous vos serveurs Web ?
S. E. : Nous utilisons toujours les outils de sécurité proposés par Microsoft. Dans le cas de Windows 2000 par exemple, il est inconcevable de ne pas utiliser les outils « IIS Secure », « IIS lockdown » et « URLScan ». Ces outils vont, à l’instar d’Unix, supprimer tous les services inutilisés, et par là même, supprimer les plus importantes failles de sécurité des serveurs IIS.

Ils permettent aussi de filtrer les URL en interdisant certaines chaînes de caractères ou certaines extensions. L’installation par défaut d’URLScan par exemple, interdit l’exécution et le téléchargement des fichiers de type « .exe », « .bat », « .com » et « .cmd ». Elle bloque aussi le chargement des fichiers statiques dont les extensions sont « .ini », « .log », « .pol » et « .dat ». Ceci est très utile car on ne compte plus le nombre de serveurs attaqués simplement parce que le pirate a réussi à récupérer le fichier « .ini » du logiciel FTP.

Le seul problème de ces outils, c’est qu’ils sont assez austères ! Jugez-en plutôt, pour modifier les paramètres d’URLScan, il faut d’abord savoir que ce dernier se trouve dans le répertoire C:WINNTsystem32inetsrvurlscan. Il faut ensuite éditer le fichier « urlscan.ini ». Puis, pour ne pas autoriser le téléchargement ou l’exécution des fichiers « .exe », vous devez ajouter cette extension dans la section « [DenyExtensions] », après le commentaire « ;Deny executables that could run on the server ».

On peut aussi empêcher l’ASP de fonctionner en supprimant le point virgule de commentaire devant l’extension « .asp », dans la même section après « ;Deny various static files ». Notez que ces outils ne sont plus nécessaires avec Windows Server 2003 puisqu’ils sont désormais directement intégrés dans IIS 6.

Utilisez-vous systématiquement les logiciels « services » fournis ?
S. E. : Non, il nous arrive parfois d'utiliser des logiciels dotés de fonctions avancées de sécurité. Certains logiciels sont hélas réputés pour leurs multiples failles de sécurité (exemple : BIND), pourtant ils restent très utilisés. Pourquoi ? Simplement parce qu’ils sont parfois très performants (c’est le cas de BIND) ou parce qu’on ne leur connaît pas d’alternative.

Pourtant, ces alternatives existent et il peut-être judicieux de ne pas toujours utiliser les logiciels les plus connus dans le cadre de la sécurité. Nous pouvons citer comme exemple l’excellent serveur DNS pour Windows « Simple DNS plus » de « JH Software ». Car il dispose de fonctions de sécurité avancées comme le « DNS Spoofing » ou « l’IP Address blocking ». Ce sont des moyens de défense efficaces contre des codes malicieux placés dans le cache du serveur (cache poisoning) ou les attaques par déni de service (DoS attack).

De la même manière, bien que nous soyons partenaires Microsoft, nous devons honnêtement reconnaître que le logiciel serveur FTP « Serv U » de « RhinoSoft » est plus sûr que celui de IIS. Là aussi, ce logiciel dispose de fonctions de sécurité avancées, comme la possibilité de bannir automatiquement les utilisateurs après plusieurs tentatives de connexions infructueuses.

Est-il préférable d’utiliser un firewall physique ou logiciel ?
S. E. : Il faut deux firewalls, sinon rien ! Chacun sait aujourd’hui qu’un firewall est nécessaire pour protéger un réseau ou une machine. Ce que l’on sait moins, c’est que les firewalls physiques et les firewalls logiciels sont des produits d’usages très différents.

Chez ASP Serveur, nous avons pris l’habitude d’utiliser deux firewalls, un physique (Cisco) en tête de réseau qui ne travaille qu’en force brute, c'est-à-dire qui gère l’anti-spoofing et ferme les ports non utilisés. Nous installons ensuite le firewall « Kerio WinRoute » sur les serveurs, car ce dernier va nous offrir des possibilités inédites et surtout impossibles à réaliser avec un firewall physique.

En effet, « WinRoute » va nous permettre maintenant d’établir des règles très fines comme par exemple faire correspondre un port avec un service installé sur le serveur. Un exemple simple : si je décide que le port 21 du serveur est associé avec le logiciel serveur FTP « Serv U », aucun pirate ne pourra installer de logiciel FTP sur ce serveur. Car le port 21 ne pourra pas être détourné, et les autres ports seront utilisés ou fermés. Il permettra aussi de stipuler quelles adresses IP sont autorisées à accéder au service Terminal Server par exemple, et éviter en cela la mise en place d’un tunnel VPN.

Pour finir, quel type de machine est le plus adapté pour un serveur sous Windows ?
S. E. : On n’y pense jamais dans l’absolu, mais plus une machine est puissante et plus elle est sûre. Une des attaques courantes sous Windows consiste à saturer la mémoire et le processeur d’un serveur afin de l’obliger à rebooter. Durant ce processus les défenses du serveur s’effondrent et le pirate en profite pour prendre la main.

Aussi, n’oublions pas que Windows est gourmant en ressources et qu’il faut bien calculer au départ la puissance dont on va avoir besoin. Un rapide calcul va d’ailleurs nous permettre de constater qu’il est pratiquement impossible de stabiliser un serveur sous-dimensionné. Ainsi, un serveur bas de gamme à base d’ADM Duron 1600 doté de 256 Mo de mémoire ne pourra pas être stabilisé et sécurisé. Car il ne dispose déjà pas assez de mémoire pour réussir à faire tourner convenablement Windows. Pour rappel, un serveur Windows avec quelques sites web utilisant le Framework DotNet utilise au minimum 512 Mo de mémoire. Voici quelques valeurs récupérées sur un serveur en exploitation :
• 80 Mo pour le DotNet (aspnet_wp.exe) ;
• 100 Mo pour les processus réseau (dllhost.exe) ;
• 50 Mo pour IIS (inetinfo.exe) ;
• 40 Mo pour AVG (avgcc.exe) ;
• 10 Mo pour l’explorateur (explorer.exe) ;
• plus une vingtaine de processus nécessaires au fonctionnement de Windows.

Considérez aussi qu’uniquement le processus .Net ou le firewall logiciel peuvent facilement consommer plus de 50 % du processeur. Vous comprendrez alors pourquoi un véritable serveur sous Windows repose sur des processeurs cadencés au minimum à 2,4 GHz et dotés de 512 Mo de RAM.

______________________________________
Demain : sécuriser un serveur Unix – Hervé Schauer, fondateur d’HSC Consultants