La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

Sécurisation de salles étudiantes Université Toulouse 1

Publié parLéonne Beguin Modifié depuis plus de 10 années

Présentations similaires

Présentation au sujet: "Sécurisation de salles étudiantes Université Toulouse 1"— Transcription de la présentation:

1 Sécurisation de salles étudiantes Université Toulouse 1
Contexte Définitions & Principes Socks : Implémentation NEC Résultats Analyse et Perspectives 18 Janvier 1999

2 Contexte 18 Janvier 1999

3 Contexte local Dominantes juridiques, économiques, gestion
Enseignements et recherche en informatique 17000 étudiants ( , Internet) CRI Pédagogie (6 personnes), mutualisé Réseau-Gestion du parc (3 personnes) Gestion (6 personnes) 18 Janvier 1999

4 Contexte Internet De nombreux outils très « efficaces »
Nessus Nmap BackOrifice Beaucoup d ’inconscience Internet « Libre » 18 Janvier 1999

5 Structure technique 3 sites (15 bâtiments) hors délocalisations
3 routeurs France-Télécom 5 routeurs «internes» 12 classes C 1200 machines (360 en pédagogie) 19 salles pédagogiques en 3 classes C 18 Janvier 1999

6 Pourquoi ? Problèmes antérieurs (incivilités, provocations, ...)
Protéger les secteurs stratégiques de gestion Détecter les intrusions Assurer l’image de l’université Réduire le travail des administrateurs 18 Janvier 1999

7 Contraintes Techniques Financières Humaines
Recherche/Pédagogie nécessite l’ouverture de tout protocole IP. Financières Humaines Acquisition des compétences Temps 18 Janvier 1999

8 Comment ? Isolement des secteurs stratégiques par filtrage sur routeurs Observation continuelle du réseau (argus) Installation d’antivirus réseau (Interscan et AMaViS) Filtrage de la pédagogie par des relais 18 Janvier 1999

9 Implémentation locale
Mail Squid Socks Argus (audit) Web Autres Pédagogie 18 Janvier 1999

10 Notre configuration 360 postes (IPX/IP):
1 Linux Pentium II 300 Mhz, serveur Socks ftp, telnet, irc, ... 1 Linux Pentium 233 Mhz, serveur Squid http (netscape, internet explorer) 1 HP serveur mail antiviral 18 Janvier 1999

11 Définitions 18 Janvier 1999

12 1) 2) Relais : schéma Réseaux & serveurs distants Réseaux locaux
18 Janvier 1999

13 Relais Interdiction des connexions directes pédagogie/extérieur
Passage obligatoire par des relais relais applicatifs relais circuit 18 Janvier 1999

14 Principe Relais R R-S Serveur S Règles C-R Décision Port du relais
Accepte Décision Port du relais R-R2 Machine cliente C Redirige Interdit 2ème Relais Logs 18 Janvier 1999

15 Relais applicatifs : l’interprète
La communication C-R est conforme au protocole relayé : R comprend la communication R peut intervenir dans la connexion Exemples Squid : accélère le web , restreint les URLs et efface les bannières publicitaires Interscan : désinfecte les attachements 18 Janvier 1999

16 Relais circuit : la standardiste
La communication C-R encapsule la communication C-S. Elle est spécifique : Le client demande au relais une communication à l’extérieur Autorisation basée sur l’origine (machine, port) la destination (machine, port) l’identification ou l’authentification du client 18 Janvier 1999

17 Relais circuit : suite Le relais
place un tunnel de communication avec le serveur note le début de la communication clôt le tunnel note la fin de la communication 18 Janvier 1999

18 Relais circuit : les socks
Koblas & Koblas En version 5 ==> RFC 1928 Passage UDP en V5 (< 1%) Passage des ping et traceroute 18 Janvier 1999

19 Socks : avantages 1 Simplicité pour le client
un logiciel client encapsule les communications de manière transparente Simplicité du serveur relais un seul daemon à lancer des règles de filtrage simples Généralités (presque tout protocole IP) 18 Janvier 1999

20 Socks : avantages 2 Pas de serveur possible (FTP pirate, etc...)
Authentification forte possible Cryptage possible des communications Relais en cascade Coûts faibles 1 PC suffit Logiciel client/serveur gratuit 18 Janvier 1999

21 Socks : inconvénients Pas de serveur possible
Pas de contrôle DANS la communication (bien que théoriquement possible) Nécessité de logiciels clients adaptés Déjà fait pour de nombreux clients Piles d’encapsulation Pas de pile TCP/IP dynamique pour les Mac 5 clients « socksifiés » 18 Janvier 1999

22 Implémentation NEC http://www.socks.nec.com
Version 1.0 release 8 (sources) 1 serveur UNIX 1 librairie cliente dynamique UNIX 1 librairie cliente dynamique Windows (Sockscap) 18 Janvier 1999

23 Serveur NEC Authentification password ou GSS-API
Supporte l’identd et un moniteur d’accounting. Peut se lancer en daemon, (normal, preforking, threaded) ou inetd Peut limiter le nombre de connexions Recopie totale de transaction 18 Janvier 1999

24 Client Sockscap : utilisation
18 Janvier 1999

25 Client SocksCap : utilisation
18 Janvier 1999

26 Client Sockscap : configuration
18 Janvier 1999

27 Les spécificités de Sockscap
Disponible en windows 3.x/9x/NT Le GSS-API n’est pas intégré Seuls les logiciels placés dans la fenêtre seront « socksifiés » 18 Janvier 1999

28 Autres implémentations
Dante : client/serveur gratuit Hummingbird : client gratuit Aventail Nec en version professionnelle Netscape Proxy server Wingate (NT) 18 Janvier 1999

29 Résultats 18 Janvier 1999

30 Configuration serveur
Tous les protocoles en sortie (hormis Web) Aucune entrée autorisée Demande d’ident (pour indication) Pas d’authentification 18 Janvier 1999

31 Fichier configuration
set SOCKS5_DEBUG ## Toute méthode d'identification est autorisée auth - - - ## permit auth cmd ## src-host/netmask dest-host/netmask ## src-port dest-port ## [user-list] ## deny {réseaux-internes} - - deny {réseaux-RFC1918} - - deny deny INIT permit - - {réseaux-internes} - - - deny 18 Janvier 1999

32 Utilisation du serveur socks
Etude sur la semaine du 4 au 9 Janvier 130 postes clients socks De 15 à 50 connexions simultanées (2-3 par utilisateur) 250 utilisateurs socks Utilisation CPU proche de 1% 18 Janvier 1999

33 Nombre de connexions 18 Janvier 1999

34 Débit Entrées/Sorties
18 Janvier 1999

35 Bilan des socks Mise en place aisée et rapide Coût faible (5-10 Kf)
Gains Calme plat des tentatives d’intrusion internes Protection contre les attaques externes Statistiques d’utilisation d’Internet Complément indispensable aux autres outils (Squid, Interscan, etc...) 18 Janvier 1999

36 Les socks sont la première marche pour un firewall plus intelligent
Conclusion Les socks sont la première marche pour un firewall plus intelligent 18 Janvier 1999

37 Annexes http://cache.univ-tlse1.fr/securite/socks
(commercial) RFC 1928 (AFT : protocole Socks 5) RFC 1929 (authentification password) RFC 1961 (les GSS-API) 18 Janvier 1999

38 Autres outils 18 Janvier 1999

39 Squid/SquidGuard http://squid.nlanr.net/Squid
Relais applicatif pour le WWW Efficacité : 50% en requête, 30% en débit Linux P233, 128 Mo, 5 Go de disque 7 Go/semaine 2% de trafic non souhaitable (4500 URLs) 30% de CPU 18 Janvier 1999

40 FWTK: FireWall ToolKit
Relais applicatifs ftp telnet, X11, rlogin, ssh smtp mbone pop, nntp, IRC 18 Janvier 1999

41 Argus ftp://ftp.sei.cmu.edu/argus Moniteur connexions IP
Processus de 1Mo le matin à 20 Mo le soir 40 à 50 lignes chaque matin Concurrent : Bro 0.5Beta (plus efficace) 18 Janvier 1999

42 AMaViS http://satan-oih.rwth-aachen.de/AMaViS
Lanceur automatique d’antivirus sur mail Remplace le delivery local Nécessite un scanner local Mcafee pour Linux Antivir/X 18 Janvier 1999

43 Interscan http://www.trendmicro.fr
Payant (et cher) 65 Kf pour 1000 machines Passerelle antivirale SMTP/HTTP/FTP 18 Janvier 1999

44 Autres implémentations
Gratuites ou Payantes

45 Implémentation Hummingbird
Gratuite Uniquement le client Remplacement de la pile winsock Si GSSAPI.DLL est présent il sera utilisé kerbnet12.zip Peu convivial (fichier de configuration) 18 Janvier 1999

46 Implémentation Dante http://www.inet.no/dante Gratuite Serveur/client
Version Beta 18 Janvier 1999

47 Aventail http://www.aventail.com Payante Client : AutoSocks
Serveur :VPN 18 Janvier 1999

48 Wingate http://www.wingate.net Payante La plus mauvaise réputation
Tourne sur NT. Socks n’est qu’un de ses aspects 700$/1000$ suivant version en utilisateur illimité 18 Janvier 1999

49 Netscape proxy-server
Payante Socks est une de ses fonctionnalités 18 Janvier 1999

50 Novell Border Manager http://www.novell.com/bordermanager Payante
Socks est une de ses fonctionnalités 18 Janvier 1999

51 Socks Pro http://www.socks5.nec.com Payante Existe en version NT
Insertion possible de plug-in d’interprétation 18 Janvier 1999

52 Renseignements annexes

53 Les difficultés Protéger le firewall contre l’IP Spoofing
Eviter les connexions entrantes Vérifier les règles Partage Microsoft ne passe pas Eviter les tentatives de contournement (installation de bots IRC) Avalanche de logs 18 Janvier 1999

54 Défauts du NEC Refus non explicités dans les logs
PRINTPACKET est « tout ou rien » Moniteur temps réel n’est pas utilisable 18 Janvier 1999

55 Améliorer Mettre un 2nd serveur en PRINTPACKET et lui rediriger les connexions à analyser Utiliser l’identd ou l ’authentification Lancer en threaded quand beaucoup de communications sont prévues (Web) 18 Janvier 1999

Télécharger ppt "Sécurisation de salles étudiantes Université Toulouse 1"

Présentations similaires

Sécurité informatique

Sécurité informatique
Act Informatik SERVICES INFORMATIQUES ET RESEAUX POUR LES PROFESSIONNELS www.act-informatik.fr.

Act Informatik SERVICES INFORMATIQUES ET RESEAUX POUR LES PROFESSIONNELS
Installer un serveur FTP

Installer un serveur FTP
La sécurité des systèmes informatiques

La sécurité des systèmes informatiques
Hygiène de la messagerie chez Microsoft

Hygiène de la messagerie chez Microsoft
1re STG COMMUNICATION ET RESEAU INFORMATIQUE

1re STG COMMUNICATION ET RESEAU INFORMATIQUE
ADMINISTRATION RESEAU

ADMINISTRATION RESEAU
M2: Les parefeux Université Paris II & LRI Michel de Rougemont 1.Quest ce quun parefeu ? 2.Architecture des parefeux.

M2: Les parefeux Université Paris II & LRI Michel de Rougemont 1.Quest ce quun parefeu ? 2.Architecture des parefeux.
VLC UMVF Fiche Veille Statut Logiciel gratuit, open source

VLC UMVF Fiche Veille Statut Logiciel gratuit, open source
Une solution personnalisable et extensible

Une solution personnalisable et extensible
La sécurité en toute simplicité Solution daccès logique By ADDEXA.

La sécurité en toute simplicité Solution daccès logique By ADDEXA.
- Couche 7 - Couche application. Sommaire 1)Introduction 1)DNS 1)FTP et TFTP 1)HTTP 1)SNMP 1)SMTP 1)Telnet.

- Couche 7 - Couche application. Sommaire 1)Introduction 1)DNS 1)FTP et TFTP 1)HTTP 1)SNMP 1)SMTP 1)Telnet.
DESS IIR Tunneling des flux réseaux dans des environnements de type « HTTP-only » Application SocksViaHTTP.

DESS IIR Tunneling des flux réseaux dans des environnements de type « HTTP-only » Application SocksViaHTTP.
DUDIN Aymeric MARINO Andrès

DUDIN Aymeric MARINO Andrès
Patrick PROY Sébastien MATHON DESS Réseaux - promotion 1999/2000

Patrick PROY Sébastien MATHON DESS Réseaux - promotion 1999/2000
Les Firewall DESS Réseaux 2000/2001

Les Firewall DESS Réseaux 2000/2001
ISP/ASP ISP ASP Conclusion DESS Réseaux 2000/2001

ISP/ASP ISP ASP Conclusion DESS Réseaux 2000/2001
TCS – CCNA 2.1.2 École Duhamel Année 2004-2005.

TCS – CCNA École Duhamel Année
Présentation de Nagios

Présentation de Nagios
Vue d'ensemble Implémentation de la sécurité IPSec

Vue d'ensemble Implémentation de la sécurité IPSec

Présentations similaires

Annonces Google