Mise en place d'un proxy SSH

Slides:



Advertisements
Présentations similaires
Réalisation professionnelle : Nouvelle version du site de la Maison du Citoyen et de la Vie Associative Réalisation professionnelle : Nouvelle version.
Advertisements

Ghost (Création d'image Système)‏ C.R.I.P.T Informatique (BOYER Jérôme)‏
Projet tuteuré 2009 Les clients légers Alexandre Cédric Joël Benjamin.
Travailler à l'ensimag avec son matériel personnel (dans les locaux Ensimag ou depuis l'extérieur) 1.Introduction 2.La clé USB Ensilinux 3.Rappels : Accès.
Séminaire EOLE Dijon Octobre 2008 Eole SSO.
Version du document: 1.00 Version de logiciel v3.7.1 Version CBox: C5 Téléassistance Configuration Client Langage: Français.
Votre rayon de soleil ! PROJET EVOLUTION – GMSI 38 Thomas Mouhica, Alexandre Lacombe, Timothé Michel 1.
Séminaire Novembre 2006 Serveur pédagogique : Scribe.
Présentation Scribe NG Serveur pédagogique École Numérique Rurale (Présentation 2009)
Cetiad - Sicep Mars Généralités ➢ Organisation de l'assistance dans l'académie de Dijon ➢ Architecture réseau des établissements ➢ Présentation.
1 PIPOL Plateforme INRIA de Portage Logiciel Maurice BREMOND & Yann GENEVOIS JRES 2009.
SSO : Single Sign ON Authentification unique Il y a 10 ans : Un luxe Il y a 3 ans : Un composant à part entiere Aujourd'hui : Incontournable Demain : Le.
Séminaire EOLE Beaune Septembre 2007 AMON NG.
 L'imprimante Unique Un pas vers les impressions totalement sécurisées Eric WIES – JRES 2011.
Séminaire EOLE Beaune Septembre 2007 HORUS.
1 Observer le paramétrage d’un réseau. 2 Dans notre réseau téléphonique habituel, les postes, reliés à un auto-commutateur... …peuvent dialoguer, car.
Séminaire EOLE Dijon octobre 2008 Migration Eole.
Scribe Serveur pédagogique Séminaire octobre 2009.
L’intérêt de sauvegarder certaines données stockées localement sur les postes clients est souvent trop sous-estimée par nos utilisateurs. Casse matérielle,
Outil Système Complet d'Assistance Réseau
Qu’est-ce un serveur de messagerie?
e-Prelude.com Analyse globale du flux
Sécurité informatique
Ensemble de services.
Phishing : Techniques et sensibilisation
Pack business Entrepreneurs intégral max la solution tout en 1 !
Présentation Scribe NG Serveur pédagogique.
Collecte de données avec les Smartphones
(Système de Management de la Sûreté)
Sécurisation de l’accès Internet
Séminaire EOLE Dijon Octobre 2010
Mise en place d'un proxy SSH
Centralisation de logs
SECURITE DU SYSTEME D’INFORMATION (SSI)
(Système de Management de la Sûreté)
Pack business Entrepreneurs intégral la solution tout en 1 !
Sécurité - Configuration de
Sécurité - Configuration de
PourEnSavoirPlus.com Mode d’emploi.
évolutions et perspectives
Introduction Bases de données Accès Internet (Web)
Sécurité - Configuration de -
Outils Statistiques pour la Sémantique Décembre 2013
Support – info Sauvegarde des données locales des postes clients
Bienvenue Comment peut-on disposer d’un espace numérique permettant de stocker toutes sortes de documents pouvant être utilisés par n’importe quel membre.
Gestion des sécurités sur les comptes User Access Control
Cyril Bras Journée « Sécu »
Présentation OCS-Inventory au LAPP
Séminaire EOLE Beaune Septembre 2007
MISE EN PLACE DE LA ToIP CAS DU MINJEC
Pack business Entrepreneurs intégral max la solution tout en 1 !
Vie et mort des comptes utilisateurs
Windows Server 2012 Objectifs
Environnement de gestion des machines Virtuelles
Bureau distant sur Windows Vista /2008 Server
EPREUVE E4: PPE Mise en place d’un portail captif
Expose : Web Application Firewall.
Outils et principes de base. Exemple d’application  Gestion de données d’enquête : Interface de saisie en ligne  insère directement les données dans.
Mise en place d'un Serveur Radius pour la sécurité d'un réseau Wireless sous Windows Serveur Présenter par le Stagiaire : Etienne Mamadou Guilavogui.
Exposé de système / réseaux IR3
La messagerie électronique
Gestion des sécurités sur les comptes User Access Control
Plan Introduction Problématique et Objectif Solution Proposé Conception et Modélisation Réalisation Conclusion et perspective
Michel Jouvin Comité des utilisateurs 14 Mai 2007
Réalisation d'un point d'accès afin d'échanger des sockets en utilisant une carte raspberry
FORMATION DANE NC RNE Le 05/09/2018
This presentation uses a free template provided by FPPT.com BIENVENUE AUX PRE- SOUTENANCES RESEAUX ET TELECOMMUNICATIONS.
Transcription de la présentation:

Mise en place d'un proxy SSH François Legrand JI 2014

Authentification centralisée Objectif : Réduire la surface d'attaque Introduction Tentatives d'intrusion ssh très fréquentes Environ 1000 tentatives d'intrusion/mois/serveur Problème de « surface d'attaque » Authentification centralisée => Surface d'attaque = nb de serveurs x 1000 x nb d'essais autorisé => Un mot de passe faible peut tomber assez facilement Objectif : Réduire la surface d'attaque F. Legrand

Objectifs Limiter la surface d'attaque à 1 (ou 2) machines Proxy ssh Les méchants Les méchants Gentil Gentil Gentil Gentil Nos petits serveurs Nos petits serveurs F. Legrand

Objectif Impératifs Pas de données sur le proxy i.e. les utilisateurs ne peuvent rien y stocker. Le proxy ne peut servir qu'à « rebondir » Pas de perte de fonctionnalités (possibilité de forward X, sftp, etc...) Sécurisation du serveur (fail2ban, log externes, etc...) F. Legrand

Architecture F. Legrand INTERNET 2 serveurs Debian + load balancing (lbcd)+ fail2ban Annuaire LDAP Serveur de logs Disque NFS partagé (5Mo/user) Pour les clés ssh Machines du labo F. Legrand

Configuration rbash est mon ami rbash pour « restricted bash » → on définit les commandes accessibles dans /usr/rbin en créant des liens logiques vers les commandes souhaitées ln -s /usr/bin/ssh /usr/rbin/ssh ln -s /usr/bin/scp /usr/rbin/scp ln -s /bin/nc /usr/rbin/nc Protection « naturelle » contre les failles de bash (car les commandes env ou bash ne sont pas accessibles) ! On force les « users normaux » à rbash et on autorise le bash standard aux admins (dans /etc/ldap.conf et /etc/profile) Fail2ban et jail recidive → Détails dans le poster dynamique F. Legrand

Utilisation Accès ssh (double ssh) Simplifier les lignes de commande : ssh -t login@proxy ssh login@serveur Simplifier les lignes de commande : Ajouter les lignes suivantes à ~/.ssh/config Host serveur ProxyCommand ssh -W %h:%p login@proxy → On peut alors faire un simple ssh login@serveur F. Legrand

Utilisation Upload de clé ssh Ce qui fonctionne : Ssh Scp Rsync Sshvnc scp authorized_keys login@proxy:/home/login/.ssh/authorized_keys Ce qui fonctionne : Ssh Scp Rsync Sshvnc Double ssh avec forward des ports et socks pour accéder avec foxyproxy à un vlan interne via une machine autorisée (comprenne qui pourra ) F. Legrand

Conclusion Allez voir le poster Configuration mise en production depuis le mois d'avril Un peu de pédagogie à faire auprès des utilisateurs, mais au final, pas de soucis particulier Pas de perte de fonctionnalités F. Legrand Allez voir le poster

Perspectives Ne suffit pas aux attaques « coordonnées » 5 6 4 7 8 1 2 3 F. Legrand

Pour le fun Double ssh avec port forwarding Objectif : On a un serveur « Vserveur » qui a accès à un vlan interne (par ex vlan d'administration). Le proxy n'a pas accès à ce vlan. ssh -f -N -D 8080 -oProxyCommand="ssh -W %h:%p proxyssh" Vserveur Ou bien host Vserveur ProxyCommand ssh -X -t -i ~/.ssh/id_rsa -W %h:%p proxyssh dans .ssh/config et on fait ssh -D 8080 Vserveur cf. http://superuser.com/questions/332850/ssh-as-socks-proxy-through-multiple-hosts F. Legrand

Feed-back: Politique de confidentialité Feed-back
Do Not Sell My Personal Information
Notre projet: SlidePlayer Les conditions d'utilisation

© 2024 SlidePlayer.fr Inc. All rights reserved.