La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

18 Janvier 19991 Sécurisation de salles étudiantes Université Toulouse 1 Contexte Définitions & Principes Socks : Implémentation NEC Résultats Analyse.

Présentations similaires


Présentation au sujet: "18 Janvier 19991 Sécurisation de salles étudiantes Université Toulouse 1 Contexte Définitions & Principes Socks : Implémentation NEC Résultats Analyse."— Transcription de la présentation:

1 18 Janvier Sécurisation de salles étudiantes Université Toulouse 1 Contexte Définitions & Principes Socks : Implémentation NEC Résultats Analyse et Perspectives

2 18 Janvier Contexte

3 18 Janvier Contexte local Dominantes juridiques, économiques, gestion Enseignements et recherche en informatique étudiants ( , Internet) CRI –Pédagogie (6 personnes), mutualisé –Réseau-Gestion du parc (3 personnes) –Gestion (6 personnes)

4 18 Janvier Contexte Internet De nombreux outils très « efficaces » –Nessus –Nmap –BackOrifice Beaucoup d inconscience –Internet « Libre »

5 18 Janvier Structure technique 3 sites (15 bâtiments) hors délocalisations 3 routeurs France-Télécom 5 routeurs «internes» 12 classes C 1200 machines (360 en pédagogie) 19 salles pédagogiques en 3 classes C

6 18 Janvier Pourquoi ? Problèmes antérieurs (incivilités, provocations,...) Protéger les secteurs stratégiques de gestion Détecter les intrusions Assurer limage de luniversité Réduire le travail des administrateurs

7 18 Janvier Contraintes Techniques –Recherche/Pédagogie nécessite louverture de tout protocole IP. Financières Humaines –Acquisition des compétences –Temps

8 18 Janvier Comment ? Isolement des secteurs stratégiques par filtrage sur routeurs Observation continuelle du réseau (argus) Installation dantivirus réseau (Interscan et AMaViS) Filtrage de la pédagogie par des relais

9 18 Janvier Implémentation locale SocksSquidMail Argus (audit) Pédagogie WebAutres

10 18 Janvier Notre configuration 360 postes (IPX/IP): 1 Linux Pentium II 300 Mhz, serveur Socks –ftp, telnet, irc,... 1 Linux Pentium 233 Mhz, serveur Squid –http (netscape, internet explorer) 1 HP serveur mail antiviral

11 18 Janvier Définitions

12 18 Janvier Relais : schéma Relais Réseaux locauxRéseaux & serveurs distants 1) 2)

13 18 Janvier Relais Interdiction des connexions directes pédagogie/extérieur Passage obligatoire par des relais –relais applicatifs –relais circuit

14 18 Janvier Principe Machine cliente C Serveur S 2ème RelaisInterdit Règles Logs Port du relais Accepte Redirige Décision C-R R-S R-R2 Relais R

15 18 Janvier Relais applicatifs : linterprète La communication C-R est conforme au protocole relayé : –R comprend la communication –R peut intervenir dans la connexion –Exemples Squid : accélère le web, restreint les URLs et efface les bannières publicitaires Interscan : désinfecte les attachements

16 18 Janvier Relais circuit : la standardiste La communication C-R encapsule la communication C-S. Elle est spécifique : –Le client demande au relais une communication à lextérieur –Autorisation basée sur lorigine (machine, port) la destination (machine, port) lidentification ou lauthentification du client

17 18 Janvier Relais circuit : suite Le relais –place un tunnel de communication avec le serveur –note le début de la communication –clôt le tunnel –note la fin de la communication

18 18 Janvier Relais circuit : les socks Koblas & Koblas En version 5 ==> RFC 1928 Passage UDP en V5 (< 1%) Passage des ping et traceroute

19 18 Janvier Socks : avantages 1 Simplicité pour le client –un logiciel client encapsule les communications de manière transparente Simplicité du serveur relais –un seul daemon à lancer –des règles de filtrage simples Généralités (presque tout protocole IP)

20 18 Janvier Socks : avantages 2 Pas de serveur possible (FTP pirate, etc...) Authentification forte possible Cryptage possible des communications Relais en cascade Coûts faibles –1 PC suffit –Logiciel client/serveur gratuit

21 18 Janvier Socks : inconvénients Pas de serveur possible Pas de contrôle DANS la communication (bien que théoriquement possible) Nécessité de logiciels clients adaptés –Déjà fait pour de nombreux clients –Piles dencapsulation Pas de pile TCP/IP dynamique pour les Mac –5 clients « socksifiés »

22 18 Janvier Implémentation NEC Version 1.0 release 8 (sources) 1 serveur UNIX 1 librairie cliente dynamique UNIX 1 librairie cliente dynamique Windows (Sockscap)

23 18 Janvier Serveur NEC Authentification password ou GSS-API Supporte lidentd et un moniteur daccounting. Peut se lancer en daemon, (normal, preforking, threaded) ou inetd Peut limiter le nombre de connexions Recopie totale de transaction

24 18 Janvier Client Sockscap : utilisation

25 18 Janvier Client SocksCap : utilisation

26 18 Janvier Client Sockscap : configuration

27 18 Janvier Les spécificités de Sockscap Disponible en windows 3.x/9x/NT Le GSS-API nest pas intégré Seuls les logiciels placés dans la fenêtre seront « socksifiés »

28 18 Janvier Autres implémentations Dante : client/serveur gratuit Hummingbird : client gratuit Aventail Nec en version professionnelle Netscape Proxy server Wingate (NT)

29 18 Janvier Résultats

30 18 Janvier Configuration serveur Tous les protocoles en sortie (hormis Web) Aucune entrée autorisée Demande dident (pour indication) Pas dauthentification

31 18 Janvier Fichier configuration set SOCKS5_DEBUG 3 ## Toute méthode d'identification est autorisée auth--- ## permit auth cmd ##src-host/netmask dest-host/netmask ##src-port dest-port ##[user-list] ## deny---{réseaux-internes}-- deny---{réseaux-RFC1918}-- deny deny------INIT permit--{réseaux-internes}--- deny------

32 18 Janvier Utilisation du serveur socks Etude sur la semaine du 4 au 9 Janvier –130 postes clients socks –De 15 à 50 connexions simultanées (2-3 par utilisateur) –250 utilisateurs socks –Utilisation CPU proche de 1%

33 18 Janvier Nombre de connexions

34 18 Janvier Débit Entrées/Sorties

35 18 Janvier Bilan des socks Mise en place aisée et rapide Coût faible (5-10 Kf) Gains –Calme plat des tentatives dintrusion internes –Protection contre les attaques externes –Statistiques dutilisation dInternet Complément indispensable aux autres outils (Squid, Interscan, etc...)

36 18 Janvier Conclusion Les socks sont la première marche pour un firewall plus intelligent

37 18 Janvier Annexes (commercial) RFC 1928 (AFT : protocole Socks 5) RFC 1929 (authentification password) RFC 1961 (les GSS-API)

38 18 Janvier Autres outils

39 18 Janvier Squid/SquidGuard Relais applicatif pour le WWW Efficacité : 50% en requête, 30% en débit Linux P233, 128 Mo, 5 Go de disque 7 Go/semaine 2% de trafic non souhaitable (4500 URLs) 30% de CPU

40 18 Janvier FWTK: FireWall ToolKit Relais applicatifs –ftp –telnet, X11, rlogin, ssh –smtp –mbone –pop, nntp, IRC

41 18 Janvier Argus ftp://ftp.sei.cmu.edu/argus Moniteur connexions IP Processus de 1Mo le matin à 20 Mo le soir 40 à 50 lignes chaque matin Concurrent : Bro 0.5Beta (plus efficace)

42 18 Janvier AMaViS Lanceur automatique dantivirus sur mail Remplace le delivery local Nécessite un scanner local –Mcafee pour Linuxhttp://www.mcafee.com –Antivir/Xhttp://www.antivir.de

43 18 Janvier Interscan Payant (et cher) 65 Kf pour 1000 machines Passerelle antivirale SMTP/HTTP/FTP

44 Autres implémentations Gratuites ou Payantes

45 18 Janvier Implémentation Hummingbird Gratuite Uniquement le client Remplacement de la pile winsock Si GSSAPI.DLL est présent il sera utilisé –kerbnet12.zip Peu convivial (fichier de configuration)

46 18 Janvier Implémentation Dante Gratuite Serveur/client Version Beta

47 18 Janvier Aventail Payante Client : AutoSocks Serveur :VPN

48 18 Janvier Wingate Payante La plus mauvaise réputation Tourne sur NT. Socks nest quun de ses aspects 700$/1000$ suivant version en utilisateur illimité

49 18 Janvier Netscape proxy-server Payante Socks est une de ses fonctionnalités

50 18 Janvier Novell Border Manager Payante Socks est une de ses fonctionnalités

51 18 Janvier Socks Pro Payante Existe en version NT Insertion possible de plug-in dinterprétation

52 Renseignements annexes

53 18 Janvier Les difficultés Protéger le firewall contre lIP Spoofing Eviter les connexions entrantes Vérifier les règles Partage Microsoft ne passe pas Eviter les tentatives de contournement (installation de bots IRC) Avalanche de logs

54 18 Janvier Défauts du NEC Refus non explicités dans les logs PRINTPACKET est « tout ou rien » Moniteur temps réel nest pas utilisable

55 18 Janvier Améliorer Mettre un 2nd serveur en PRINTPACKET et lui rediriger les connexions à analyser Utiliser lidentd ou l authentification Lancer en threaded quand beaucoup de communications sont prévues (Web)


Télécharger ppt "18 Janvier 19991 Sécurisation de salles étudiantes Université Toulouse 1 Contexte Définitions & Principes Socks : Implémentation NEC Résultats Analyse."

Présentations similaires


Annonces Google