Télécharger la présentation
La présentation est en train de télécharger. S'il vous plaît, attendez
Publié parLéonne Beguin Modifié depuis plus de 10 années
1
Sécurisation de salles étudiantes Université Toulouse 1
Contexte Définitions & Principes Socks : Implémentation NEC Résultats Analyse et Perspectives 18 Janvier 1999
2
Contexte 18 Janvier 1999
3
Contexte local Dominantes juridiques, économiques, gestion
Enseignements et recherche en informatique 17000 étudiants ( , Internet) CRI Pédagogie (6 personnes), mutualisé Réseau-Gestion du parc (3 personnes) Gestion (6 personnes) 18 Janvier 1999
4
Contexte Internet De nombreux outils très « efficaces »
Nessus Nmap BackOrifice Beaucoup d ’inconscience Internet « Libre » 18 Janvier 1999
5
Structure technique 3 sites (15 bâtiments) hors délocalisations
3 routeurs France-Télécom 5 routeurs «internes» 12 classes C 1200 machines (360 en pédagogie) 19 salles pédagogiques en 3 classes C 18 Janvier 1999
6
Pourquoi ? Problèmes antérieurs (incivilités, provocations, ...)
Protéger les secteurs stratégiques de gestion Détecter les intrusions Assurer l’image de l’université Réduire le travail des administrateurs 18 Janvier 1999
7
Contraintes Techniques Financières Humaines
Recherche/Pédagogie nécessite l’ouverture de tout protocole IP. Financières Humaines Acquisition des compétences Temps 18 Janvier 1999
8
Comment ? Isolement des secteurs stratégiques par filtrage sur routeurs Observation continuelle du réseau (argus) Installation d’antivirus réseau (Interscan et AMaViS) Filtrage de la pédagogie par des relais 18 Janvier 1999
9
Implémentation locale
Mail Squid Socks Argus (audit) Web Autres Pédagogie 18 Janvier 1999
10
Notre configuration 360 postes (IPX/IP):
1 Linux Pentium II 300 Mhz, serveur Socks ftp, telnet, irc, ... 1 Linux Pentium 233 Mhz, serveur Squid http (netscape, internet explorer) 1 HP serveur mail antiviral 18 Janvier 1999
11
Définitions 18 Janvier 1999
12
1) 2) Relais : schéma Réseaux & serveurs distants Réseaux locaux
18 Janvier 1999
13
Relais Interdiction des connexions directes pédagogie/extérieur
Passage obligatoire par des relais relais applicatifs relais circuit 18 Janvier 1999
14
Principe Relais R R-S Serveur S Règles C-R Décision Port du relais
Accepte Décision Port du relais R-R2 Machine cliente C Redirige Interdit 2ème Relais Logs 18 Janvier 1999
15
Relais applicatifs : l’interprète
La communication C-R est conforme au protocole relayé : R comprend la communication R peut intervenir dans la connexion Exemples Squid : accélère le web , restreint les URLs et efface les bannières publicitaires Interscan : désinfecte les attachements 18 Janvier 1999
16
Relais circuit : la standardiste
La communication C-R encapsule la communication C-S. Elle est spécifique : Le client demande au relais une communication à l’extérieur Autorisation basée sur l’origine (machine, port) la destination (machine, port) l’identification ou l’authentification du client 18 Janvier 1999
17
Relais circuit : suite Le relais
place un tunnel de communication avec le serveur note le début de la communication clôt le tunnel note la fin de la communication 18 Janvier 1999
18
Relais circuit : les socks
Koblas & Koblas En version 5 ==> RFC 1928 Passage UDP en V5 (< 1%) Passage des ping et traceroute 18 Janvier 1999
19
Socks : avantages 1 Simplicité pour le client
un logiciel client encapsule les communications de manière transparente Simplicité du serveur relais un seul daemon à lancer des règles de filtrage simples Généralités (presque tout protocole IP) 18 Janvier 1999
20
Socks : avantages 2 Pas de serveur possible (FTP pirate, etc...)
Authentification forte possible Cryptage possible des communications Relais en cascade Coûts faibles 1 PC suffit Logiciel client/serveur gratuit 18 Janvier 1999
21
Socks : inconvénients Pas de serveur possible
Pas de contrôle DANS la communication (bien que théoriquement possible) Nécessité de logiciels clients adaptés Déjà fait pour de nombreux clients Piles d’encapsulation Pas de pile TCP/IP dynamique pour les Mac 5 clients « socksifiés » 18 Janvier 1999
22
Implémentation NEC http://www.socks.nec.com
Version 1.0 release 8 (sources) 1 serveur UNIX 1 librairie cliente dynamique UNIX 1 librairie cliente dynamique Windows (Sockscap) 18 Janvier 1999
23
Serveur NEC Authentification password ou GSS-API
Supporte l’identd et un moniteur d’accounting. Peut se lancer en daemon, (normal, preforking, threaded) ou inetd Peut limiter le nombre de connexions Recopie totale de transaction 18 Janvier 1999
24
Client Sockscap : utilisation
18 Janvier 1999
25
Client SocksCap : utilisation
18 Janvier 1999
26
Client Sockscap : configuration
18 Janvier 1999
27
Les spécificités de Sockscap
Disponible en windows 3.x/9x/NT Le GSS-API n’est pas intégré Seuls les logiciels placés dans la fenêtre seront « socksifiés » 18 Janvier 1999
28
Autres implémentations
Dante : client/serveur gratuit Hummingbird : client gratuit Aventail Nec en version professionnelle Netscape Proxy server Wingate (NT) 18 Janvier 1999
29
Résultats 18 Janvier 1999
30
Configuration serveur
Tous les protocoles en sortie (hormis Web) Aucune entrée autorisée Demande d’ident (pour indication) Pas d’authentification 18 Janvier 1999
31
Fichier configuration
set SOCKS5_DEBUG ## Toute méthode d'identification est autorisée auth - - - ## permit auth cmd ## src-host/netmask dest-host/netmask ## src-port dest-port ## [user-list] ## deny {réseaux-internes} - - deny {réseaux-RFC1918} - - deny deny INIT permit - - {réseaux-internes} - - - deny 18 Janvier 1999
32
Utilisation du serveur socks
Etude sur la semaine du 4 au 9 Janvier 130 postes clients socks De 15 à 50 connexions simultanées (2-3 par utilisateur) 250 utilisateurs socks Utilisation CPU proche de 1% 18 Janvier 1999
33
Nombre de connexions 18 Janvier 1999
34
Débit Entrées/Sorties
18 Janvier 1999
35
Bilan des socks Mise en place aisée et rapide Coût faible (5-10 Kf)
Gains Calme plat des tentatives d’intrusion internes Protection contre les attaques externes Statistiques d’utilisation d’Internet Complément indispensable aux autres outils (Squid, Interscan, etc...) 18 Janvier 1999
36
Les socks sont la première marche pour un firewall plus intelligent
Conclusion Les socks sont la première marche pour un firewall plus intelligent 18 Janvier 1999
37
Annexes http://cache.univ-tlse1.fr/securite/socks
(commercial) RFC 1928 (AFT : protocole Socks 5) RFC 1929 (authentification password) RFC 1961 (les GSS-API) 18 Janvier 1999
38
Autres outils 18 Janvier 1999
39
Squid/SquidGuard http://squid.nlanr.net/Squid
Relais applicatif pour le WWW Efficacité : 50% en requête, 30% en débit Linux P233, 128 Mo, 5 Go de disque 7 Go/semaine 2% de trafic non souhaitable (4500 URLs) 30% de CPU 18 Janvier 1999
40
FWTK: FireWall ToolKit
Relais applicatifs ftp telnet, X11, rlogin, ssh smtp mbone pop, nntp, IRC 18 Janvier 1999
41
Argus ftp://ftp.sei.cmu.edu/argus Moniteur connexions IP
Processus de 1Mo le matin à 20 Mo le soir 40 à 50 lignes chaque matin Concurrent : Bro 0.5Beta (plus efficace) 18 Janvier 1999
42
AMaViS http://satan-oih.rwth-aachen.de/AMaViS
Lanceur automatique d’antivirus sur mail Remplace le delivery local Nécessite un scanner local Mcafee pour Linux Antivir/X 18 Janvier 1999
43
Interscan http://www.trendmicro.fr
Payant (et cher) 65 Kf pour 1000 machines Passerelle antivirale SMTP/HTTP/FTP 18 Janvier 1999
44
Autres implémentations
Gratuites ou Payantes
45
Implémentation Hummingbird
Gratuite Uniquement le client Remplacement de la pile winsock Si GSSAPI.DLL est présent il sera utilisé kerbnet12.zip Peu convivial (fichier de configuration) 18 Janvier 1999
46
Implémentation Dante http://www.inet.no/dante Gratuite Serveur/client
Version Beta 18 Janvier 1999
47
Aventail http://www.aventail.com Payante Client : AutoSocks
Serveur :VPN 18 Janvier 1999
48
Wingate http://www.wingate.net Payante La plus mauvaise réputation
Tourne sur NT. Socks n’est qu’un de ses aspects 700$/1000$ suivant version en utilisateur illimité 18 Janvier 1999
49
Netscape proxy-server
Payante Socks est une de ses fonctionnalités 18 Janvier 1999
50
Novell Border Manager http://www.novell.com/bordermanager Payante
Socks est une de ses fonctionnalités 18 Janvier 1999
51
Socks Pro http://www.socks5.nec.com Payante Existe en version NT
Insertion possible de plug-in d’interprétation 18 Janvier 1999
52
Renseignements annexes
53
Les difficultés Protéger le firewall contre l’IP Spoofing
Eviter les connexions entrantes Vérifier les règles Partage Microsoft ne passe pas Eviter les tentatives de contournement (installation de bots IRC) Avalanche de logs 18 Janvier 1999
54
Défauts du NEC Refus non explicités dans les logs
PRINTPACKET est « tout ou rien » Moniteur temps réel n’est pas utilisable 18 Janvier 1999
55
Améliorer Mettre un 2nd serveur en PRINTPACKET et lui rediriger les connexions à analyser Utiliser l’identd ou l ’authentification Lancer en threaded quand beaucoup de communications sont prévues (Web) 18 Janvier 1999
Présentations similaires
© 2024 SlidePlayer.fr Inc.
All rights reserved.