s curisation de salles tudiantes universit toulouse 1
Download
Skip this Video
Download Presentation
Sécurisation de salles étudiantes Université Toulouse 1

Loading in 2 Seconds...

play fullscreen
1 / 55

Sécurisation de salles étudiantes Université Toulouse 1 - PowerPoint PPT Presentation


  • 83 Views
  • Uploaded on

Sécurisation de salles étudiantes Université Toulouse 1. Contexte Définitions & Principes Socks : Implémentation NEC Résultats Analyse et Perspectives. Contexte. Contexte local. Dominantes juridiques, économiques, gestion Enseignements et recherche en informatique

loader
I am the owner, or an agent authorized to act on behalf of the owner, of the copyrighted work described.
capcha
Download Presentation

PowerPoint Slideshow about ' Sécurisation de salles étudiantes Université Toulouse 1' - delila


An Image/Link below is provided (as is) to download presentation

Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author.While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server.


- - - - - - - - - - - - - - - - - - - - - - - - - - E N D - - - - - - - - - - - - - - - - - - - - - - - - - -
Presentation Transcript
s curisation de salles tudiantes universit toulouse 1
Sécurisation de salles étudiantesUniversité Toulouse 1
  • Contexte
  • Définitions & Principes
  • Socks : Implémentation NEC
  • Résultats
  • Analyse et Perspectives
contexte local
Contexte local
  • Dominantes juridiques, économiques, gestion
  • Enseignements et recherche en informatique
  • 17000 étudiants (Email, Internet)
  • CRI
    • Pédagogie (6 personnes), mutualisé
    • Réseau-Gestion du parc (3 personnes)
    • Gestion (6 personnes)
contexte internet
Contexte Internet
  • De nombreux outils très « efficaces »
    • Nessus
    • Nmap
    • BackOrifice
  • Beaucoup d ’inconscience
    • Internet « Libre »
structure technique
Structure technique
  • 3 sites (15 bâtiments) hors délocalisations
  • 3 routeurs France-Télécom
  • 5 routeurs «internes»
  • 12 classes C
  • 1200 machines (360 en pédagogie)
  • 19 salles pédagogiques en 3 classes C
pourquoi
Pourquoi ?
  • Problèmes antérieurs (incivilités, provocations, ...)
  • Protéger les secteurs stratégiques de gestion
  • Détecter les intrusions
  • Assurer l’image de l’université
  • Réduire le travail des administrateurs
contraintes
Contraintes
  • Techniques
    • Recherche/Pédagogie nécessite l’ouverture de tout protocole IP.
  • Financières
  • Humaines
    • Acquisition des compétences
    • Temps
comment
Comment ?
  • Isolement des secteurs stratégiques par filtrage sur routeurs
  • Observation continuelle du réseau (argus)
  • Installation d’antivirus réseau (Interscan et AMaViS)
  • Filtrage de la pédagogie par des relais
impl mentation locale
Implémentation locale

Mail

Squid

Socks

Argus

(audit)

Email

Web

Autres

Pédagogie

notre configuration
Notre configuration
  • 360 postes (IPX/IP):
  • 1 Linux Pentium II 300 Mhz, serveur Socks
    • ftp, telnet, irc, ...
  • 1 Linux Pentium 233 Mhz, serveur Squid
    • http (netscape, internet explorer)
  • 1 HP serveur mail antiviral
relais sch ma
Relais : schéma

1)

2)

Réseaux & serveurs

distants

Réseaux locaux

Relais

relais
Relais
  • Interdiction des connexions directes pédagogie/extérieur
  • Passage obligatoire par des relais
    • relais applicatifs
    • relais circuit
principe
Principe

Relais R

R-S

Serveur S

Règles

C-R

Accepte

Décision

Port

du

relais

R-R2

Machine

cliente C

Redirige

Interdit

2ème Relais

Logs

relais applicatifs l interpr te
Relais applicatifs : l’interprète
  • La communication C-R est conforme au protocole relayé :
    • R comprend la communication
    • R peut intervenir dans la connexion
    • Exemples
      • Squid : accélère le web , restreint les URLs et efface les bannières publicitaires
      • Interscan : désinfecte les attachements
relais circuit la standardiste
Relais circuit : la standardiste
  • La communication C-R encapsule la communication C-S. Elle est spécifique :
    • Le client demande au relais une communication à l’extérieur
    • Autorisation basée sur
      • l’origine (machine, port)
      • la destination (machine, port)
      • l’identification ou l’authentification du client
relais circuit suite
Relais circuit : suite
  • Le relais
    • place un tunnel de communication avec le serveur
    • note le début de la communication
    • clôt le tunnel
    • note la fin de la communication
relais circuit les socks
Relais circuit : les socks
  • Koblas & Koblas
  • En version 5 ==> RFC 1928
  • Passage UDP en V5 (< 1%)
  • Passage des ping et traceroute
socks avantages 1
Socks : avantages 1
  • Simplicité pour le client
    • un logiciel client encapsule les communications de manière transparente
  • Simplicité du serveur relais
    • un seul daemon à lancer
    • des règles de filtrage simples
  • Généralités (presque tout protocole IP)
socks avantages 2
Socks : avantages 2
  • Pas de serveur possible (FTP pirate, etc...)
  • Authentification forte possible
  • Cryptage possible des communications
  • Relais en cascade
  • Coûts faibles
    • 1 PC suffit
    • Logiciel client/serveur gratuit
socks inconv nients
Socks : inconvénients
  • Pas de serveur possible
  • Pas de contrôle DANS la communication (bien que théoriquement possible)
  • Nécessité de logiciels clients adaptés
    • Déjà fait pour de nombreux clients
    • Piles d’encapsulation
  • Pas de pile TCP/IP dynamique pour les Mac
    • 5 clients « socksifiés »
impl mentation nec
Implémentation NEC
  • http://www.socks.nec.com
  • Version 1.0 release 8 (sources)
  • 1 serveur UNIX
  • 1 librairie cliente dynamique UNIX
  • 1 librairie cliente dynamique Windows (Sockscap)
serveur nec
Serveur NEC
  • Authentification password ou GSS-API
  • Supporte l’identd et un moniteur d’accounting.
  • Peut se lancer en daemon, (normal, preforking, threaded) ou inetd
  • Peut limiter le nombre de connexions
  • Recopie totale de transaction
les sp cificit s de sockscap
Les spécificités de Sockscap
  • Disponible en windows 3.x/9x/NT
  • Le GSS-API n’est pas intégré
  • Seuls les logiciels placés dans la fenêtre seront « socksifiés »
autres impl mentations
Autres implémentations
  • Dante : client/serveur gratuit
  • Hummingbird : client gratuit
  • Aventail
  • Nec en version professionnelle
  • Netscape Proxy server
  • Wingate (NT)
configuration serveur
Configuration serveur
  • Tous les protocoles en sortie (hormis Web)
  • Aucune entrée autorisée
  • Demande d’ident (pour indication)
  • Pas d’authentification
fichier configuration
Fichier configuration

set SOCKS5_DEBUG 3

## Toute méthode d\'identification est autorisée

auth - - -

## permit auth cmd

## src-host/netmask dest-host/netmask

## src-port dest-port

## [user-list]

##

deny - - - {réseaux-internes} - -

deny - - - {réseaux-RFC1918} - -

deny - - - - - 80

deny - - - - - - INIT

permit - - {réseaux-internes} - - -

deny - - - - - -

utilisation du serveur socks
Utilisation du serveur socks
  • Etude sur la semaine du 4 au 9 Janvier
    • 130 postes clients socks
    • De 15 à 50 connexions simultanées (2-3 par utilisateur)
    • 250 utilisateurs socks
    • Utilisation CPU proche de 1%
bilan des socks
Bilan des socks
  • Mise en place aisée et rapide
  • Coût faible (5-10 Kf)
  • Gains
    • Calme plat des tentatives d’intrusion internes
    • Protection contre les attaques externes
    • Statistiques d’utilisation d’Internet
  • Complément indispensable aux autres outils (Squid, Interscan, etc...)
conclusion
Conclusion

Les socks sont la première marche pour un firewall plus intelligent

annexes
Annexes
  • http://cache.univ-tlse1.fr/securite/socks
  • http://www.socks.nec.com
  • http://www.socks5.nec.com (commercial)
  • RFC 1928 (AFT : protocole Socks 5)
  • RFC 1929 (authentification password)
  • RFC 1961 (les GSS-API)
squid squidguard
Squid/SquidGuard
  • http://squid.nlanr.net/Squid
  • Relais applicatif pour le WWW
  • Efficacité : 50% en requête, 30% en débit
  • Linux P233, 128 Mo, 5 Go de disque
  • 7 Go/semaine
  • 2% de trafic non souhaitable (4500 URLs)
  • 30% de CPU
fwtk firewall toolkit
FWTK: FireWall ToolKit
  • http://www.tis.com
  • http://www.erols.com/avenger
  • Relais applicatifs
    • ftp
    • telnet, X11, rlogin, ssh
    • smtp
    • mbone
    • pop, nntp, IRC
argus
Argus
  • ftp://ftp.sei.cmu.edu/argus
  • Moniteur connexions IP
  • Processus de 1Mo le matin à 20 Mo le soir
  • 40 à 50 lignes chaque matin
  • Concurrent : Bro 0.5Beta (plus efficace)
amavis
AMaViS
  • http://satan-oih.rwth-aachen.de/AMaViS
  • Lanceur automatique d’antivirus sur mail
  • Remplace le delivery local
  • Nécessite un scanner local
    • Mcafee pour Linux http://www.mcafee.com
    • Antivir/X http://www.antivir.de
interscan
Interscan
  • http://www.trendmicro.fr
  • Payant (et cher) 65 Kf pour 1000 machines
  • Passerelle antivirale SMTP/HTTP/FTP
autres impl mentations1

Autres implémentations

Gratuites

ou

Payantes

impl mentation hummingbird
Implémentation Hummingbird
  • http://www.hummingbird.com
  • Gratuite
  • Uniquement le client
  • Remplacement de la pile winsock
  • Si GSSAPI.DLL est présent il sera utilisé
    • kerbnet12.zip
  • Peu convivial (fichier de configuration)
impl mentation dante
Implémentation Dante
  • http://www.inet.no/dante
  • Gratuite
  • Serveur/client
  • Version Beta 0.91.1
aventail
Aventail
  • http://www.aventail.com
  • Payante
  • Client : AutoSocks
  • Serveur :VPN
wingate
Wingate
  • http://www.wingate.net
  • Payante
  • La plus mauvaise réputation
  • Tourne sur NT.
  • Socks n’est qu’un de ses aspects
  • 700$/1000$ suivant version en utilisateur illimité
netscape proxy server
Netscape proxy-server
  • http://www.netscape.com/proxy
  • Payante
  • Socks est une de ses fonctionnalités
novell border manager
Novell Border Manager
  • http://www.novell.com/bordermanager
  • Payante
  • Socks est une de ses fonctionnalités
socks pro
Socks Pro
  • http://www.socks5.nec.com
  • Payante
  • Existe en version NT
  • Insertion possible de plug-in d’interprétation
les difficult s
Les difficultés
  • Protéger le firewall contre l’IP Spoofing
  • Eviter les connexions entrantes
  • Vérifier les règles
  • Partage Microsoft ne passe pas
  • Eviter les tentatives de contournement (installation de bots IRC)
  • Avalanche de logs
d fauts du nec
Défauts du NEC
  • Refus non explicités dans les logs
  • PRINTPACKET est « tout ou rien »
  • Moniteur temps réel n’est pas utilisable
am liorer
Améliorer
  • Mettre un 2nd serveur en PRINTPACKET et lui rediriger les connexions à analyser
  • Utiliser l’identd ou l ’authentification
  • Lancer en threaded quand beaucoup de communications sont prévues (Web)
ad