18 Janvier 1999 1

Sécurisation de salles étudiantesUniversité Toulouse 1

• Contexte

• Définitions & Principes

• Socks : Implémentation NEC

• Résultats

• Analyse et Perspectives

18 Janvier 1999 2

Contexte

18 Janvier 1999 3

Contexte local

• Dominantes juridiques, économiques, gestion• Enseignements et recherche en informatique• 17000 étudiants (Email, Internet)• CRI

– Pédagogie (6 personnes), mutualisé– Réseau-Gestion du parc (3 personnes)– Gestion (6 personnes)

18 Janvier 1999 4

Contexte Internet

• De nombreux outils très « efficaces »– Nessus– Nmap– BackOrifice

• Beaucoup d ’inconscience– Internet « Libre »

18 Janvier 1999 5

Structure technique

• 3 sites (15 bâtiments) hors délocalisations

• 3 routeurs France-Télécom

• 5 routeurs «internes»

• 12 classes C

• 1200 machines (360 en pédagogie)

• 19 salles pédagogiques en 3 classes C

18 Janvier 1999 6

Pourquoi ?

• Problèmes antérieurs (incivilités, provocations, ...)

• Protéger les secteurs stratégiques de gestion

• Détecter les intrusions

• Assurer l’image de l’université

• Réduire le travail des administrateurs

18 Janvier 1999 7

Contraintes

• Techniques– Recherche/Pédagogie nécessite l’ouverture de

tout protocole IP.

• Financières

• Humaines– Acquisition des compétences– Temps

18 Janvier 1999 8

Comment ?

• Isolement des secteurs stratégiques par filtrage sur routeurs

• Observation continuelle du réseau (argus)

• Installation d’antivirus réseau (Interscan et AMaViS)

• Filtrage de la pédagogie par des relais

18 Janvier 1999 9

Implémentation locale

SocksSquidMail

Argus(audit)

Pédagogie

EmailEmail WebWeb AutresAutres

18 Janvier 1999 10

Notre configuration

• 360 postes (IPX/IP):

• 1 Linux Pentium II 300 Mhz, serveur Socks– ftp, telnet, irc, ...

• 1 Linux Pentium 233 Mhz, serveur Squid– http (netscape, internet explorer)

• 1 HP serveur mail antiviral

18 Janvier 1999 11

Définitions

18 Janvier 1999 12

Relais : schéma

Relais

Réseaux locauxRéseaux & serveursdistants

1)

2)

18 Janvier 1999 13

Relais

• Interdiction des connexions directes pédagogie/extérieur

• Passage obligatoire par des relais– relais applicatifs– relais circuit

18 Janvier 1999 14

Principe

Machine

cliente C

Serveur S

2ème Relais Interdit

Règles

Logs

Port du

relais

Accepte

Redirige

DécisionC-R

R-S

R-R2

Relais R

18 Janvier 1999 15

Relais applicatifs : l’interprète

• La communication C-R est conforme au protocole relayé :– R comprend la communication– R peut intervenir dans la connexion– Exemples

• Squid : accélère le web , restreint les URLs et efface les bannières publicitaires

• Interscan : désinfecte les attachements

18 Janvier 1999 16

Relais circuit : la standardiste

• La communication C-R encapsule la communication C-S. Elle est spécifique :– Le client demande au relais une communication

à l’extérieur– Autorisation basée sur

• l’origine (machine, port)

• la destination (machine, port)

• l’identification ou l’authentification du client

18 Janvier 1999 17

Relais circuit : suite

• Le relais– place un tunnel de communication avec le

serveur– note le début de la communication– clôt le tunnel– note la fin de la communication

18 Janvier 1999 18

Relais circuit : les socks

• Koblas & Koblas

• En version 5 ==> RFC 1928

• Passage UDP en V5 (< 1%)

• Passage des ping et traceroute

18 Janvier 1999 19

Socks : avantages 1

• Simplicité pour le client– un logiciel client encapsule les communications

de manière transparente

• Simplicité du serveur relais – un seul daemon à lancer– des règles de filtrage simples

• Généralités (presque tout protocole IP)

18 Janvier 1999 20

Socks : avantages 2

• Pas de serveur possible (FTP pirate, etc...)

• Authentification forte possible

• Cryptage possible des communications

• Relais en cascade

• Coûts faibles– 1 PC suffit– Logiciel client/serveur gratuit

18 Janvier 1999 21

Socks : inconvénients

• Pas de serveur possible• Pas de contrôle DANS la communication

(bien que théoriquement possible)• Nécessité de logiciels clients adaptés

– Déjà fait pour de nombreux clients– Piles d’encapsulation

• Pas de pile TCP/IP dynamique pour les Mac – 5 clients « socksifiés »

18 Janvier 1999 22

Implémentation NEC

• http://www.socks.nec.com

• Version 1.0 release 8 (sources)

• 1 serveur UNIX

• 1 librairie cliente dynamique UNIX

• 1 librairie cliente dynamique Windows (Sockscap)

18 Janvier 1999 23

Serveur NEC

• Authentification password ou GSS-API

• Supporte l’identd et un moniteur d’accounting.

• Peut se lancer en daemon, (normal, preforking, threaded) ou inetd

• Peut limiter le nombre de connexions

• Recopie totale de transaction

18 Janvier 1999 24

Client Sockscap : utilisation

18 Janvier 1999 25

Client SocksCap : utilisation

18 Janvier 1999 26

Client Sockscap :

configuration

18 Janvier 1999 27

Les spécificités de Sockscap

• Disponible en windows 3.x/9x/NT

• Le GSS-API n’est pas intégré

• Seuls les logiciels placés dans la fenêtre seront « socksifiés »

18 Janvier 1999 28

Autres implémentations

• Dante : client/serveur gratuit

• Hummingbird : client gratuit

• Aventail

• Nec en version professionnelle

• Netscape Proxy server

• Wingate (NT)

18 Janvier 1999 29

Résultats

18 Janvier 1999 30

Configuration serveur

• Tous les protocoles en sortie (hormis Web)

• Aucune entrée autorisée

• Demande d’ident (pour indication)

• Pas d’authentification

18 Janvier 1999 31

Fichier configuration

set SOCKS5_DEBUG 3## Toute méthode d'identification est autoriséeauth - - -

## permit auth cmd ## src-host/netmask dest-host/netmask## src-port dest-port ## [user-list]##deny - - - {réseaux-internes} - -deny - - - {réseaux-RFC1918} - -deny - - - - - 80deny - - - - - - INITpermit - - {réseaux-internes} - - -deny - - - - - -

18 Janvier 1999 32

Utilisation du serveur socks

• Etude sur la semaine du 4 au 9 Janvier– 130 postes clients socks– De 15 à 50 connexions simultanées (2-3 par

utilisateur)– 250 utilisateurs socks– Utilisation CPU proche de 1%

18 Janvier 1999 33

Nombre de connexions

0

200

400

600

800

1000

1200

FTP Telnet IRC Pop Reste

18 Janvier 1999 34

Débit Entrées/Sorties

05

10

15202530

35404550

FTP Telnet IRC Pop Reste

0

1000

2000

3000

4000

5000

6000

FTP Telnet IRC Pop Reste WEB

18 Janvier 1999 35

Bilan des socks

• Mise en place aisée et rapide• Coût faible (5-10 Kf)• Gains

– Calme plat des tentatives d’intrusion internes– Protection contre les attaques externes– Statistiques d’utilisation d’Internet

• Complément indispensable aux autres outils (Squid, Interscan, etc...)

18 Janvier 1999 36

Conclusion

Les socks sont la première marche pour un firewall plus intelligent

18 Janvier 1999 37

Annexes

• http://cache.univ-tlse1.fr/securite/socks

• http://www.socks.nec.com

• http://www.socks5.nec.com (commercial)

• RFC 1928 (AFT : protocole Socks 5)

• RFC 1929 (authentification password)

• RFC 1961 (les GSS-API)

18 Janvier 1999 38

Autres outils

18 Janvier 1999 39

Squid/SquidGuard

• http://squid.nlanr.net/Squid

• Relais applicatif pour le WWW

• Efficacité : 50% en requête, 30% en débit

• Linux P233, 128 Mo, 5 Go de disque

• 7 Go/semaine

• 2% de trafic non souhaitable (4500 URLs)

• 30% de CPU

18 Janvier 1999 40

FWTK: FireWall ToolKit

• http://www.tis.com

• http://www.erols.com/avenger

• Relais applicatifs– ftp– telnet, X11, rlogin, ssh– smtp– mbone– pop, nntp, IRC

18 Janvier 1999 41

Argus

• ftp://ftp.sei.cmu.edu/argus

• Moniteur connexions IP

• Processus de 1Mo le matin à 20 Mo le soir

• 40 à 50 lignes chaque matin

• Concurrent : Bro 0.5Beta (plus efficace)

18 Janvier 1999 42

AMaViS

• http://satan-oih.rwth-aachen.de/AMaViS

• Lanceur automatique d’antivirus sur mail

• Remplace le delivery local

• Nécessite un scanner local– Mcafee pour Linux http://www.mcafee.com– Antivir/X http://www.antivir.de

18 Janvier 1999 43

Interscan

• http://www.trendmicro.fr

• Payant (et cher) 65 Kf pour 1000 machines

• Passerelle antivirale SMTP/HTTP/FTP

Autres implémentations

Gratuites

ou

Payantes

18 Janvier 1999 45

Implémentation Hummingbird

• http://www.hummingbird.com

• Gratuite

• Uniquement le client

• Remplacement de la pile winsock

• Si GSSAPI.DLL est présent il sera utilisé– kerbnet12.zip

• Peu convivial (fichier de configuration)

18 Janvier 1999 46

Implémentation Dante

• http://www.inet.no/dante

• Gratuite

• Serveur/client

• Version Beta 0.91.1

18 Janvier 1999 47

Aventail

• http://www.aventail.com

• Payante

• Client : AutoSocks

• Serveur :VPN

18 Janvier 1999 48

Wingate

• http://www.wingate.net

• Payante

• La plus mauvaise réputation

• Tourne sur NT.

• Socks n’est qu’un de ses aspects

• 700$/1000$ suivant version en utilisateur illimité

18 Janvier 1999 49

Netscape proxy-server

• http://www.netscape.com/proxy

• Payante

• Socks est une de ses fonctionnalités

18 Janvier 1999 50

Novell Border Manager

• http://www.novell.com/bordermanager

• Payante

• Socks est une de ses fonctionnalités

18 Janvier 1999 51

Socks Pro

• http://www.socks5.nec.com

• Payante

• Existe en version NT

• Insertion possible de plug-in d’interprétation

Renseignements annexes

18 Janvier 1999 53

Les difficultés

• Protéger le firewall contre l’IP Spoofing

• Eviter les connexions entrantes

• Vérifier les règles

• Partage Microsoft ne passe pas

• Eviter les tentatives de contournement (installation de bots IRC)

• Avalanche de logs

18 Janvier 1999 54

Défauts du NEC

• Refus non explicités dans les logs

• PRINTPACKET est « tout ou rien »

• Moniteur temps réel n’est pas utilisable

18 Janvier 1999 55

Améliorer

• Mettre un 2nd serveur en PRINTPACKET et lui rediriger les connexions à analyser

• Utiliser l’identd ou l ’authentification

• Lancer en threaded quand beaucoup de communications sont prévues (Web)