S curisation de salles tudiantes universit toulouse 1
Download
1 / 55

Sécurisation de salles étudiantes Université Toulouse 1 - PowerPoint PPT Presentation


  • 83 Views
  • Uploaded on

Sécurisation de salles étudiantes Université Toulouse 1. Contexte Définitions & Principes Socks : Implémentation NEC Résultats Analyse et Perspectives. Contexte. Contexte local. Dominantes juridiques, économiques, gestion Enseignements et recherche en informatique

loader
I am the owner, or an agent authorized to act on behalf of the owner, of the copyrighted work described.
capcha
Download Presentation

PowerPoint Slideshow about ' Sécurisation de salles étudiantes Université Toulouse 1' - delila


An Image/Link below is provided (as is) to download presentation

Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author.While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server.


- - - - - - - - - - - - - - - - - - - - - - - - - - E N D - - - - - - - - - - - - - - - - - - - - - - - - - -
Presentation Transcript
S curisation de salles tudiantes universit toulouse 1
Sécurisation de salles étudiantesUniversité Toulouse 1

  • Contexte

  • Définitions & Principes

  • Socks : Implémentation NEC

  • Résultats

  • Analyse et Perspectives



Contexte local
Contexte local

  • Dominantes juridiques, économiques, gestion

  • Enseignements et recherche en informatique

  • 17000 étudiants (Email, Internet)

  • CRI

    • Pédagogie (6 personnes), mutualisé

    • Réseau-Gestion du parc (3 personnes)

    • Gestion (6 personnes)


Contexte internet
Contexte Internet

  • De nombreux outils très « efficaces »

    • Nessus

    • Nmap

    • BackOrifice

  • Beaucoup d ’inconscience

    • Internet « Libre »


Structure technique
Structure technique

  • 3 sites (15 bâtiments) hors délocalisations

  • 3 routeurs France-Télécom

  • 5 routeurs «internes»

  • 12 classes C

  • 1200 machines (360 en pédagogie)

  • 19 salles pédagogiques en 3 classes C


Pourquoi
Pourquoi ?

  • Problèmes antérieurs (incivilités, provocations, ...)

  • Protéger les secteurs stratégiques de gestion

  • Détecter les intrusions

  • Assurer l’image de l’université

  • Réduire le travail des administrateurs


Contraintes
Contraintes

  • Techniques

    • Recherche/Pédagogie nécessite l’ouverture de tout protocole IP.

  • Financières

  • Humaines

    • Acquisition des compétences

    • Temps


Comment
Comment ?

  • Isolement des secteurs stratégiques par filtrage sur routeurs

  • Observation continuelle du réseau (argus)

  • Installation d’antivirus réseau (Interscan et AMaViS)

  • Filtrage de la pédagogie par des relais


Impl mentation locale
Implémentation locale

Mail

Squid

Socks

Argus

(audit)

Email

Web

Autres

Pédagogie


Notre configuration
Notre configuration

  • 360 postes (IPX/IP):

  • 1 Linux Pentium II 300 Mhz, serveur Socks

    • ftp, telnet, irc, ...

  • 1 Linux Pentium 233 Mhz, serveur Squid

    • http (netscape, internet explorer)

  • 1 HP serveur mail antiviral



Relais sch ma
Relais : schéma

1)

2)

Réseaux & serveurs

distants

Réseaux locaux

Relais


Relais
Relais

  • Interdiction des connexions directes pédagogie/extérieur

  • Passage obligatoire par des relais

    • relais applicatifs

    • relais circuit


Principe
Principe

Relais R

R-S

Serveur S

Règles

C-R

Accepte

Décision

Port

du

relais

R-R2

Machine

cliente C

Redirige

Interdit

2ème Relais

Logs


Relais applicatifs l interpr te
Relais applicatifs : l’interprète

  • La communication C-R est conforme au protocole relayé :

    • R comprend la communication

    • R peut intervenir dans la connexion

    • Exemples

      • Squid : accélère le web , restreint les URLs et efface les bannières publicitaires

      • Interscan : désinfecte les attachements


Relais circuit la standardiste
Relais circuit : la standardiste

  • La communication C-R encapsule la communication C-S. Elle est spécifique :

    • Le client demande au relais une communication à l’extérieur

    • Autorisation basée sur

      • l’origine (machine, port)

      • la destination (machine, port)

      • l’identification ou l’authentification du client


Relais circuit suite
Relais circuit : suite

  • Le relais

    • place un tunnel de communication avec le serveur

    • note le début de la communication

    • clôt le tunnel

    • note la fin de la communication


Relais circuit les socks
Relais circuit : les socks

  • Koblas & Koblas

  • En version 5 ==> RFC 1928

  • Passage UDP en V5 (< 1%)

  • Passage des ping et traceroute


Socks avantages 1
Socks : avantages 1

  • Simplicité pour le client

    • un logiciel client encapsule les communications de manière transparente

  • Simplicité du serveur relais

    • un seul daemon à lancer

    • des règles de filtrage simples

  • Généralités (presque tout protocole IP)


Socks avantages 2
Socks : avantages 2

  • Pas de serveur possible (FTP pirate, etc...)

  • Authentification forte possible

  • Cryptage possible des communications

  • Relais en cascade

  • Coûts faibles

    • 1 PC suffit

    • Logiciel client/serveur gratuit


Socks inconv nients
Socks : inconvénients

  • Pas de serveur possible

  • Pas de contrôle DANS la communication (bien que théoriquement possible)

  • Nécessité de logiciels clients adaptés

    • Déjà fait pour de nombreux clients

    • Piles d’encapsulation

  • Pas de pile TCP/IP dynamique pour les Mac

    • 5 clients « socksifiés »


Impl mentation nec
Implémentation NEC

  • http://www.socks.nec.com

  • Version 1.0 release 8 (sources)

  • 1 serveur UNIX

  • 1 librairie cliente dynamique UNIX

  • 1 librairie cliente dynamique Windows (Sockscap)


Serveur nec
Serveur NEC

  • Authentification password ou GSS-API

  • Supporte l’identd et un moniteur d’accounting.

  • Peut se lancer en daemon, (normal, preforking, threaded) ou inetd

  • Peut limiter le nombre de connexions

  • Recopie totale de transaction




Client sockscap configuration
Client Sockscap : configuration


Les sp cificit s de sockscap
Les spécificités de Sockscap

  • Disponible en windows 3.x/9x/NT

  • Le GSS-API n’est pas intégré

  • Seuls les logiciels placés dans la fenêtre seront « socksifiés »


Autres impl mentations
Autres implémentations

  • Dante : client/serveur gratuit

  • Hummingbird : client gratuit

  • Aventail

  • Nec en version professionnelle

  • Netscape Proxy server

  • Wingate (NT)



Configuration serveur
Configuration serveur

  • Tous les protocoles en sortie (hormis Web)

  • Aucune entrée autorisée

  • Demande d’ident (pour indication)

  • Pas d’authentification


Fichier configuration
Fichier configuration

set SOCKS5_DEBUG 3

## Toute méthode d'identification est autorisée

auth - - -

## permit auth cmd

## src-host/netmask dest-host/netmask

## src-port dest-port

## [user-list]

##

deny - - - {réseaux-internes} - -

deny - - - {réseaux-RFC1918} - -

deny - - - - - 80

deny - - - - - - INIT

permit - - {réseaux-internes} - - -

deny - - - - - -


Utilisation du serveur socks
Utilisation du serveur socks

  • Etude sur la semaine du 4 au 9 Janvier

    • 130 postes clients socks

    • De 15 à 50 connexions simultanées (2-3 par utilisateur)

    • 250 utilisateurs socks

    • Utilisation CPU proche de 1%




Bilan des socks
Bilan des socks

  • Mise en place aisée et rapide

  • Coût faible (5-10 Kf)

  • Gains

    • Calme plat des tentatives d’intrusion internes

    • Protection contre les attaques externes

    • Statistiques d’utilisation d’Internet

  • Complément indispensable aux autres outils (Squid, Interscan, etc...)


Conclusion
Conclusion

Les socks sont la première marche pour un firewall plus intelligent


Annexes
Annexes

  • http://cache.univ-tlse1.fr/securite/socks

  • http://www.socks.nec.com

  • http://www.socks5.nec.com (commercial)

  • RFC 1928 (AFT : protocole Socks 5)

  • RFC 1929 (authentification password)

  • RFC 1961 (les GSS-API)



Squid squidguard
Squid/SquidGuard

  • http://squid.nlanr.net/Squid

  • Relais applicatif pour le WWW

  • Efficacité : 50% en requête, 30% en débit

  • Linux P233, 128 Mo, 5 Go de disque

  • 7 Go/semaine

  • 2% de trafic non souhaitable (4500 URLs)

  • 30% de CPU


Fwtk firewall toolkit
FWTK: FireWall ToolKit

  • http://www.tis.com

  • http://www.erols.com/avenger

  • Relais applicatifs

    • ftp

    • telnet, X11, rlogin, ssh

    • smtp

    • mbone

    • pop, nntp, IRC


Argus
Argus

  • ftp://ftp.sei.cmu.edu/argus

  • Moniteur connexions IP

  • Processus de 1Mo le matin à 20 Mo le soir

  • 40 à 50 lignes chaque matin

  • Concurrent : Bro 0.5Beta (plus efficace)


Amavis
AMaViS

  • http://satan-oih.rwth-aachen.de/AMaViS

  • Lanceur automatique d’antivirus sur mail

  • Remplace le delivery local

  • Nécessite un scanner local

    • Mcafee pour Linux http://www.mcafee.com

    • Antivir/X http://www.antivir.de


Interscan
Interscan

  • http://www.trendmicro.fr

  • Payant (et cher) 65 Kf pour 1000 machines

  • Passerelle antivirale SMTP/HTTP/FTP


Autres impl mentations1

Autres implémentations

Gratuites

ou

Payantes


Impl mentation hummingbird
Implémentation Hummingbird

  • http://www.hummingbird.com

  • Gratuite

  • Uniquement le client

  • Remplacement de la pile winsock

  • Si GSSAPI.DLL est présent il sera utilisé

    • kerbnet12.zip

  • Peu convivial (fichier de configuration)


Impl mentation dante
Implémentation Dante

  • http://www.inet.no/dante

  • Gratuite

  • Serveur/client

  • Version Beta 0.91.1


Aventail
Aventail

  • http://www.aventail.com

  • Payante

  • Client : AutoSocks

  • Serveur :VPN


Wingate
Wingate

  • http://www.wingate.net

  • Payante

  • La plus mauvaise réputation

  • Tourne sur NT.

  • Socks n’est qu’un de ses aspects

  • 700$/1000$ suivant version en utilisateur illimité


Netscape proxy server
Netscape proxy-server

  • http://www.netscape.com/proxy

  • Payante

  • Socks est une de ses fonctionnalités


Novell border manager
Novell Border Manager

  • http://www.novell.com/bordermanager

  • Payante

  • Socks est une de ses fonctionnalités


Socks pro
Socks Pro

  • http://www.socks5.nec.com

  • Payante

  • Existe en version NT

  • Insertion possible de plug-in d’interprétation



Les difficult s
Les difficultés

  • Protéger le firewall contre l’IP Spoofing

  • Eviter les connexions entrantes

  • Vérifier les règles

  • Partage Microsoft ne passe pas

  • Eviter les tentatives de contournement (installation de bots IRC)

  • Avalanche de logs


D fauts du nec
Défauts du NEC

  • Refus non explicités dans les logs

  • PRINTPACKET est « tout ou rien »

  • Moniteur temps réel n’est pas utilisable


Am liorer
Améliorer

  • Mettre un 2nd serveur en PRINTPACKET et lui rediriger les connexions à analyser

  • Utiliser l’identd ou l ’authentification

  • Lancer en threaded quand beaucoup de communications sont prévues (Web)


ad