Sécurisation de salles étudiantes Université Toulouse 1

Slides:



Advertisements
Présentations similaires
Sécurité informatique
Advertisements

Act Informatik SERVICES INFORMATIQUES ET RESEAUX POUR LES PROFESSIONNELS
Installer un serveur FTP
La sécurité des systèmes informatiques
Hygiène de la messagerie chez Microsoft
1re STG COMMUNICATION ET RESEAU INFORMATIQUE
ADMINISTRATION RESEAU
M2: Les parefeux Université Paris II & LRI Michel de Rougemont 1.Quest ce quun parefeu ? 2.Architecture des parefeux.
VLC UMVF Fiche Veille Statut Logiciel gratuit, open source
Une solution personnalisable et extensible
La sécurité en toute simplicité Solution daccès logique By ADDEXA.
- Couche 7 - Couche application. Sommaire 1)Introduction 1)DNS 1)FTP et TFTP 1)HTTP 1)SNMP 1)SMTP 1)Telnet.
DESS IIR Tunneling des flux réseaux dans des environnements de type « HTTP-only » Application SocksViaHTTP.
DUDIN Aymeric MARINO Andrès
Patrick PROY Sébastien MATHON DESS Réseaux - promotion 1999/2000
Les Firewall DESS Réseaux 2000/2001
ISP/ASP ISP ASP Conclusion DESS Réseaux 2000/2001
TCS – CCNA École Duhamel Année
Présentation de Nagios
Vue d'ensemble Implémentation de la sécurité IPSec
Réseaux Privés Virtuels
Cours d'administration Web - juin Copyright© Pascal AUBRY - IFSIC - Université de Rennes 1 Mandataires, caches et filtres Pascal AUBRY IFSIC - Université
Le helpdesk de l’IFSIC Pourquoi ? Comment ?
FLSI602 Génie Informatique et Réseaux
SMC2804WBRP-G Routeur sans fil Barricade g 2.4GHz 54Mbps avec port imprimante USB SMC2804WBRP-G
Exposé : Prise de contrôle à distance
Analyseurs Réseaux(Renifleur) DSNIFF
SECURITE DU SYSTEME D’INFORMATION (SSI)
Module 10 : Prise en charge des utilisateurs distants
Scanning.
Pare-feu.
1 Sécurité Informatique : Proxy Présenter par : Mounir GRARI.
Le filtrage IP Ahmed Serhrouchni ENST’Paris CNRS.
Le protocole FTP.
Mise en place du routeur DLINK MODELE: DSL-G604T.
Introduction RADIUS (Remote Authentication Dial-In User Service)
Groupe Chiffres, Tendances, Perspectives Mission "Lorentz" sur le Commerce Électronique Février Groupe "Chiffres, tendances et perspectives du commerce.
Virtual Private Network
@SSR – Installation des applications eduscol.education.fr/securite - février 2007 © Ministère de l'Éducation nationale, de l'Enseignement supérieur et.
Environnement et architecture informatique
Commutation de niveau 5 Guillaume CASSIN Charles DESMOULINS 24 Mars 2001.
Vue d'ensemble Configuration d'adresses IP
Test d ’un système de détection d ’intrusions réseaux (NIDS)
Audit de réseau. Audit réseau Responsable : Jean-François RODRIGUEZ Objectif : tester les failles d’une machine ou d’un réseau Outil : nessus Audit réseau.
AMPIGNY Christophe - 10/12/2001
Expose sur « logiciel teamviewer »
Cours de programmation web
Jean-Luc Archimbaud CNRS/UREC
Institut Supérieur d’Informatique
Back Orifice Scénario en 3 étapes - Préparation & envoi - Infection & Installation - Prise de contrôle - Détections Possibles - Net-Based - Host-Based.
Département de physique/Infotronique
FTP : File Transfer Protocol (protocole de transfert de fichier ) est un protocole de communication destiné à l'échange informatique de fichiers sur.
Module 3 : Création d'un domaine Windows 2000
LE PARE-FEU AMON. MAI 2002.
Offre de service Sécurité des systèmes d’information
Mise en place de translation d’adresses NAT/PAT
Charly Belhaire. Présentation De l’Hôpital Mémorial.
IPSec Formation.
3.3 Communication et réseaux informatiques
Sécurité : Architecture et Firewall
1 INFRASTRUCTURE NECESSAIRE POUR UN INTRANET PEDAGOGIQUE DANS UNE UNIVERSITE CUME - 7 décembre 2000 Jacques ALLO Université d'Angers.
Liste des activités Professionnels
V- Identification des ordinateurs sur le réseau
Présentation du Produit WAN-FAI L.KHIMA S.ZEKRI V.BACHMAN
Proxy filtrant pour GSB
LE SERVEUR PROXY Un serveur proxy (traduction française de «proxy server», appelé aussi «serveur mandataire») est à l'origine une machine faisant fonction.
PPE N°3 Etude d’une solution de serveur mandataire proxy filtrant
VERSION AVRIL 2015 L’offre Hélios. Présentation C’est une box modulable sur mesure Un portefeuille complet de services de sécurité informatique pour les.
Chapitre 8 Protection du trafic réseau à l'aide de la sécurité IPSec et de certificats Module S43.
Chapitre8 Configuration de l'adressage TCP/IP et de la résolution de noms Module S41.
Transcription de la présentation:

Sécurisation de salles étudiantes Université Toulouse 1 Contexte Définitions & Principes Socks : Implémentation NEC Résultats Analyse et Perspectives 18 Janvier 1999

Contexte 18 Janvier 1999

Contexte local Dominantes juridiques, économiques, gestion Enseignements et recherche en informatique 17000 étudiants (Email, Internet) CRI Pédagogie (6 personnes), mutualisé Réseau-Gestion du parc (3 personnes) Gestion (6 personnes) 18 Janvier 1999

Contexte Internet De nombreux outils très « efficaces » Nessus Nmap BackOrifice Beaucoup d ’inconscience Internet « Libre » 18 Janvier 1999

Structure technique 3 sites (15 bâtiments) hors délocalisations 3 routeurs France-Télécom 5 routeurs «internes» 12 classes C 1200 machines (360 en pédagogie) 19 salles pédagogiques en 3 classes C 18 Janvier 1999

Pourquoi ? Problèmes antérieurs (incivilités, provocations, ...) Protéger les secteurs stratégiques de gestion Détecter les intrusions Assurer l’image de l’université Réduire le travail des administrateurs 18 Janvier 1999

Contraintes Techniques Financières Humaines Recherche/Pédagogie nécessite l’ouverture de tout protocole IP. Financières Humaines Acquisition des compétences Temps 18 Janvier 1999

Comment ? Isolement des secteurs stratégiques par filtrage sur routeurs Observation continuelle du réseau (argus) Installation d’antivirus réseau (Interscan et AMaViS) Filtrage de la pédagogie par des relais 18 Janvier 1999

Implémentation locale Mail Squid Socks Argus (audit) Email Web Autres Pédagogie 18 Janvier 1999

Notre configuration 360 postes (IPX/IP): 1 Linux Pentium II 300 Mhz, serveur Socks ftp, telnet, irc, ... 1 Linux Pentium 233 Mhz, serveur Squid http (netscape, internet explorer) 1 HP serveur mail antiviral 18 Janvier 1999

Définitions 18 Janvier 1999

1) 2) Relais : schéma Réseaux & serveurs distants Réseaux locaux 18 Janvier 1999

Relais Interdiction des connexions directes pédagogie/extérieur Passage obligatoire par des relais relais applicatifs relais circuit 18 Janvier 1999

Principe Relais R R-S Serveur S Règles C-R Décision Port du relais Accepte Décision Port du relais R-R2 Machine cliente C Redirige Interdit 2ème Relais Logs 18 Janvier 1999

Relais applicatifs : l’interprète La communication C-R est conforme au protocole relayé : R comprend la communication R peut intervenir dans la connexion Exemples Squid : accélère le web , restreint les URLs et efface les bannières publicitaires Interscan : désinfecte les attachements 18 Janvier 1999

Relais circuit : la standardiste La communication C-R encapsule la communication C-S. Elle est spécifique : Le client demande au relais une communication à l’extérieur Autorisation basée sur l’origine (machine, port) la destination (machine, port) l’identification ou l’authentification du client 18 Janvier 1999

Relais circuit : suite Le relais place un tunnel de communication avec le serveur note le début de la communication clôt le tunnel note la fin de la communication 18 Janvier 1999

Relais circuit : les socks Koblas & Koblas En version 5 ==> RFC 1928 Passage UDP en V5 (< 1%) Passage des ping et traceroute 18 Janvier 1999

Socks : avantages 1 Simplicité pour le client un logiciel client encapsule les communications de manière transparente Simplicité du serveur relais un seul daemon à lancer des règles de filtrage simples Généralités (presque tout protocole IP) 18 Janvier 1999

Socks : avantages 2 Pas de serveur possible (FTP pirate, etc...) Authentification forte possible Cryptage possible des communications Relais en cascade Coûts faibles 1 PC suffit Logiciel client/serveur gratuit 18 Janvier 1999

Socks : inconvénients Pas de serveur possible Pas de contrôle DANS la communication (bien que théoriquement possible) Nécessité de logiciels clients adaptés Déjà fait pour de nombreux clients Piles d’encapsulation Pas de pile TCP/IP dynamique pour les Mac 5 clients « socksifiés » 18 Janvier 1999

Implémentation NEC http://www.socks.nec.com Version 1.0 release 8 (sources) 1 serveur UNIX 1 librairie cliente dynamique UNIX 1 librairie cliente dynamique Windows (Sockscap) 18 Janvier 1999

Serveur NEC Authentification password ou GSS-API Supporte l’identd et un moniteur d’accounting. Peut se lancer en daemon, (normal, preforking, threaded) ou inetd Peut limiter le nombre de connexions Recopie totale de transaction 18 Janvier 1999

Client Sockscap : utilisation 18 Janvier 1999

Client SocksCap : utilisation 18 Janvier 1999

Client Sockscap : configuration 18 Janvier 1999

Les spécificités de Sockscap Disponible en windows 3.x/9x/NT Le GSS-API n’est pas intégré Seuls les logiciels placés dans la fenêtre seront « socksifiés » 18 Janvier 1999

Autres implémentations Dante : client/serveur gratuit Hummingbird : client gratuit Aventail Nec en version professionnelle Netscape Proxy server Wingate (NT) 18 Janvier 1999

Résultats 18 Janvier 1999

Configuration serveur Tous les protocoles en sortie (hormis Web) Aucune entrée autorisée Demande d’ident (pour indication) Pas d’authentification 18 Janvier 1999

Fichier configuration set SOCKS5_DEBUG 3 ## Toute méthode d'identification est autorisée auth - - - ## permit auth cmd ## src-host/netmask dest-host/netmask ## src-port dest-port ## [user-list] ## deny - - - {réseaux-internes} - - deny - - - {réseaux-RFC1918} - - deny - - - - - 80 deny - - - - - - INIT permit - - {réseaux-internes} - - - deny - - - - - - 18 Janvier 1999

Utilisation du serveur socks Etude sur la semaine du 4 au 9 Janvier 130 postes clients socks De 15 à 50 connexions simultanées (2-3 par utilisateur) 250 utilisateurs socks Utilisation CPU proche de 1% 18 Janvier 1999

Nombre de connexions 18 Janvier 1999

Débit Entrées/Sorties 18 Janvier 1999

Bilan des socks Mise en place aisée et rapide Coût faible (5-10 Kf) Gains Calme plat des tentatives d’intrusion internes Protection contre les attaques externes Statistiques d’utilisation d’Internet Complément indispensable aux autres outils (Squid, Interscan, etc...) 18 Janvier 1999

Les socks sont la première marche pour un firewall plus intelligent Conclusion Les socks sont la première marche pour un firewall plus intelligent 18 Janvier 1999

Annexes http://cache.univ-tlse1.fr/securite/socks http://www.socks.nec.com http://www.socks5.nec.com (commercial) RFC 1928 (AFT : protocole Socks 5) RFC 1929 (authentification password) RFC 1961 (les GSS-API) 18 Janvier 1999

Autres outils 18 Janvier 1999

Squid/SquidGuard http://squid.nlanr.net/Squid Relais applicatif pour le WWW Efficacité : 50% en requête, 30% en débit Linux P233, 128 Mo, 5 Go de disque 7 Go/semaine 2% de trafic non souhaitable (4500 URLs) 30% de CPU 18 Janvier 1999

FWTK: FireWall ToolKit http://www.tis.com http://www.erols.com/avenger Relais applicatifs ftp telnet, X11, rlogin, ssh smtp mbone pop, nntp, IRC 18 Janvier 1999

Argus ftp://ftp.sei.cmu.edu/argus Moniteur connexions IP Processus de 1Mo le matin à 20 Mo le soir 40 à 50 lignes chaque matin Concurrent : Bro 0.5Beta (plus efficace) 18 Janvier 1999

AMaViS http://satan-oih.rwth-aachen.de/AMaViS Lanceur automatique d’antivirus sur mail Remplace le delivery local Nécessite un scanner local Mcafee pour Linux http://www.mcafee.com Antivir/X http://www.antivir.de 18 Janvier 1999

Interscan http://www.trendmicro.fr Payant (et cher) 65 Kf pour 1000 machines Passerelle antivirale SMTP/HTTP/FTP 18 Janvier 1999

Autres implémentations Gratuites ou Payantes

Implémentation Hummingbird http://www.hummingbird.com Gratuite Uniquement le client Remplacement de la pile winsock Si GSSAPI.DLL est présent il sera utilisé kerbnet12.zip Peu convivial (fichier de configuration) 18 Janvier 1999

Implémentation Dante http://www.inet.no/dante Gratuite Serveur/client Version Beta 0.91.1 18 Janvier 1999

Aventail http://www.aventail.com Payante Client : AutoSocks Serveur :VPN 18 Janvier 1999

Wingate http://www.wingate.net Payante La plus mauvaise réputation Tourne sur NT. Socks n’est qu’un de ses aspects 700$/1000$ suivant version en utilisateur illimité 18 Janvier 1999

Netscape proxy-server http://www.netscape.com/proxy Payante Socks est une de ses fonctionnalités 18 Janvier 1999

Novell Border Manager http://www.novell.com/bordermanager Payante Socks est une de ses fonctionnalités 18 Janvier 1999

Socks Pro http://www.socks5.nec.com Payante Existe en version NT Insertion possible de plug-in d’interprétation 18 Janvier 1999

Renseignements annexes

Les difficultés Protéger le firewall contre l’IP Spoofing Eviter les connexions entrantes Vérifier les règles Partage Microsoft ne passe pas Eviter les tentatives de contournement (installation de bots IRC) Avalanche de logs 18 Janvier 1999

Défauts du NEC Refus non explicités dans les logs PRINTPACKET est « tout ou rien » Moniteur temps réel n’est pas utilisable 18 Janvier 1999

Améliorer Mettre un 2nd serveur en PRINTPACKET et lui rediriger les connexions à analyser Utiliser l’identd ou l ’authentification Lancer en threaded quand beaucoup de communications sont prévues (Web) 18 Janvier 1999

Feed-back: Politique de confidentialité Feed-back
Do Not Sell My Personal Information
Notre projet: SlidePlayer Les conditions d'utilisation

© 2024 SlidePlayer.fr Inc. All rights reserved.