Aspects techniques
- Précédent -- Suivant -
- Précédent -- Suivant -Notre Rôle, Non substitution, Non ingérence
Rôle :
- Fournisseur d'accès réseau
- Surveillance réseau globale
- Protection par défaut des sites
- Conseils
Responsabilité :
- Site responsable de sa sécurité
Actions :
- Alerter les correspondants des sites
- Pas d'intervention spontanée
- Mesures conservatoires (filtrage)
- Précédent -- Suivant -Protection des réseaux de gestion
Besoin :
- Accès depuis les réseaux de recherche/enseignement
- Protection contre le vol de mot de passe
- Ouverture sur l'extérieur (client)
Solution :
- Ouverture ports > 1024 entrée
- Contrôles réguliers absence de service
- Firewall TIS FWTK/Linux (S/Key)
Futur :
- Authentification OPIE sur serveur
- Fermeture des ports > 1024 / Passage par proxy
- Précédent -- Suivant -Contrôle des salles en libre service
Contexte :
- Poste mono-utilisateur
- Clients standards (pop, news, web,...)
Besoin :
- Contrôle de l'utilisation
- Lutte contre courriers/news anonymes
Solution expérimentale :
- Version modifiée TIS FWTK / Authentification par poste
Procédure :
- Connection telnet -> firewall (identification)
- Utilisation firewall(proxy) autorisé
- Déconnection telnet
- Traces requêtes/utilisateurs
- Insertion de l'identité (news,mail)
Futur :
- Précédent -- Suivant -Analyse de fichier /etc/passwd
Problème :
- Piratage classique : vol de fichier passwd
Action :
- Crackage à la demande
- Priorités: population temporaire, site "attractif"
Organisation :
- Problème: Crack long & monolithique
- Découpage des règles et dictionnaires
- Feedback = Crack (1 dictionnaire, 1 jeu de règles)
- Ordonnancement (dico., règles) meilleur d'abord
- Redémarrages fréquents peu couteux
Chiffres :
- Depuis 2 ans : 440 comptes crackés sur 7000 (6%)
- Précédent -- Suivant -Analyse des failles réseau
Problèmes :
- Services buggés
- Nouvelles machines mal configurées
Actions :
- Satan tous les 2/3 mois
- Test des nouveaux bugs ("exploit" bugtraq)
Futur :
- Détection rapide & analyse des nouvelles machines
- Ajout de tests (bugtraq) à satan
- Précédent -- Suivant -Détection d'intrusion/attaque/violation charte (1/2)
Problème :
- Réseau ouvert (pas interdit = autorisé)
- Détection piratage toujours trop tard
Objectif :
- Détection des premiers signes
- Outil pour détecter/analyser les problèmes
Description :
- Station isolée dediée à la surveillance
- Logiciel "maison"
- Analyse par protocoles (style tcpdump)
- Précédent -- Suivant -Détection d'intrusion/attaque/violation charte (2/2)
Description (suite) :
- Recherche d'évènements anormaux
Détection d'exploitation de bug connus :
- Intrusion, Vol d'informations
- Déni de service
Recherche de mot-clés (ftp,www) :
- Outils de pirate
- Logiciels piratés (warez)
Actions :
- Enregistrement de traces
- Alertes sonores
Chiffres :
- Ex. Moyennes par mois sur les 6 derniers mois
- 40 phf, 20 imapd, 6 scans tcp, 1 tftp
- Précédent -- Suivant -Contrôle des accès RTC
Description :
- 2 serveurs d'accès (enseignement, recherche)
- 1 serveur xtacacs
Sécurisation :
- Adresses IP privées (ip <-> nom.prénom)
- Proxy (www) ou rebond sur site
- Gestion des comptes par les sites (proximité, péremption)
- Passage de crack -> blocage immédiat
- Non respect charte (cf URL) -> blocage immédiat
Futur :
- Utiliser "Présentation du numéro" de FT