{{htmlmetatags>metatag-description=(Tutoriels et astuces pour Redis sur un serveur Linux Debian. )
metatag-og:image=(:zonewebmaster.jpg)
metatag-og:description=(Tutoriels et astuces pour Redis sur un serveur Linux Debian. )
metatag-og:title=(Sécurisation de TCP/IP sur votre serveur dédié - zonewebmaster.eu)
metatag-og:type=(article)
metatag-og:url=(https://www1.zonewebmaster.eu/serveur-debian-securite:securiser-tcp-ip)
metatag-og:locale=(fr_FR)
metatag-og:site_name(zonewebmaster.eu)
metatag-article:published_time=(2017-11-23)
metatag-article:modified_time=(2020-02-08)
metatag-article:author=(montuy337513)
metatag-article:tag=(tcp,ip, hack, serveur, dédié, synflood, spoofing, smurfing, icmp, installation, sécurisation,help, tuto, wiki, debian)
}}
====== Sécurisation de TCP/IP sur votre serveur dédié ======

Si votre serveur dédié se trouve dans un //datacenter// et que le réseau est stable. Nous pouvons désactiver certaines fonctions de routage IPv4 et IPv6.\\
Nous allons voir ici comment protéger votre serveur contre les attaques SYN FLOOD, le Spoofing, le smurfing et les redirections ICMP.
{{ :serveur-debian-securite:tcp-ip.jpg?nolink&600 |}}

===== Pré-requis =====

Ce tutoriel a été testé sur Debian 7 (Wheezy),8 (Jessie), 9 (Stretch) et 10 (Buster).\\
Vous devez avoir un accès //super-administrateur// (root) sur votre terminal de commande.
{{howhard>3}}
Tout ce passe dans le fichier /etc/sysctl.conf

===== Sauvegarde du fichier de configuration /etc/sysctl.conf =====

Pour commencer, nous allons effectuer une sauvegarde du fichier de configuration /etc/sysctl.conf
<code bash>
cp /etc/sysctl.conf /etc/sysctl.conf.bak
</code>

===== Protection contre le spoofing=====

Pour protéger son serveur dédié contre le spoofing, il faut décommenter deux lignes :
<code bash>
command sed -i \
    -e 's/#net.ipv4.conf.default.rp_filter=1/net.ipv4.conf.default.rp_filter=1/' \
    -e 's/#net.ipv4.conf.all.rp_filter=1/net.ipv4.conf.all.rp_filter=1h/' \
  '/etc/sysctl.conf'
</code> 

===== Protection contre le SYN FLOOD =====

Pour se protéger contre le SYN FLOOD, il faut décommenter une ligne :
<code bash>
command sed -i \
    -e 's/#net.ipv4.tcp_syncookies=1/net.ipv4.tcp_syncookies=1/' \
  '/etc/sysctl.conf'
</code>

Puis on ajoute au fichier de configuration /etc/sysctl.conf la ligne suivante
<code bash>
echo " 
net.ipv4.tcp_max_syn_backlog = 1024 
" >> '/etc/sysctl.conf'
</code>

===== Protection contre le smurfing =====

Pour protéger votre serveur dédié des tentative de smurfing, il faut ajouter les lignes suivantes. Cela précisera qu'il faut ignorer les codes réponses //bogus// des logs **ICMP**.

<code bash>
echo "
net.ipv4.icmp_ignore_bogus_error_responses = 1
net.ipv4.icmp_echo_ignore_broadcasts = 1
" >> /etc/sysctl.conf
</code>

===== Protection conte les attaques Man In The Middle (MITM) =====

Pour protéger votre serveur dédié contre les attaques de type Man In The Middle (MITM), il faut ajouter les lignes suivantes au fichier /etc/sysctl.conf.
<code bash>
echo "
# refus des redirections ICMP
net.ipv4.conf.all.accept_redirects = 0
net.ipv6.conf.all.accept_redirects = 0
# Pas d'envoi de redirection ICMP
net.ipv4.conf.all.send_redirects = 0
net.ipv6.conf.all.send_redirects = 0
#Refus de router les paquets ICMP
net.ipv4.conf.all.accept_source_route = 0
net.ipv6.conf.all.accept_source_route = 0
" >> '/etc/sysctl.conf'
</code>

===== Applications des modifications =====

Il ne nous reste plus qu'à appliquer les modifications
<code bash>
sysctl -n -e -q -p /etc/sysctl.conf
</code>

===== Notes de version =====
 
  * [23/11/2017] : Création de l'article
  * [08/02/2020] : Mise à jour de l'article
  
===== Auteurs et sources =====

  * Auteur : [[:user:montuy337513]]

===== Navigation =====

{{page>:navigation#securiser-un-serveur-debian}}
{{page>:navigation#serveur-dedie-debian}}
 
<nspages -h1 -exclude:subNs: -textPages="Autres liens rapides pouvant vous intéresser">