Expérience : blocage de machines sur un campus

Dimension: px

Commencer à balayer dès la page:

Download "Expérience : blocage de machines sur un campus"

Adeline Jean
il y a 8 ans
Total affichages :

1 Expérience : blocage de machines sur un campus Journée Réseaux Sans Fil - 13 Octobre 2004 Laurent FACQ facq@u-bordeaux.fr Directeur Technique & Responsable Sécurité du réseau REAUMUR Objet : Expérience sur comment arriver à bloquer toutes les machines à problèmes (compromises ou abus de ressources) Réseau REAUMUR REseau Aquitain des Utilisateurs des Milieux Universitaire et de Recherche

fr Directeur Technique & Responsable Sécurité du réseau REAUMUR Objet : Expérience sur comment

2 Contexte Cadre : REAUMUR Campus = Réseau inter-universitaire Bordelais de l'ordre de machines utilisateurs potentiels, classe B routée. débit RENATER : 100Mbps, une centaine de routeurs & commutateurs 210 correspondants Expérience : 9 ans d'activité sécurité analyse réseau passive (IDS maison puis snort) et active (satan puis nessus) Derniers évènements majeurs: 2001 : Début du P2P abus très important de bande passante (>50% bande passante au début) 2003 : Explosion des virus (Saphir, Blaster & Co). Entre Août 2003 et Mai 2004 : 900 machines Windows infectées et bloquées! Fermeté : Blocage de l'accès Internet des machines à problèmes (sans aucune distinction : avec ou sans fil, administration, recherche, pédagogie,...) compromise (vers, piratage,...) => pb machine violation charte (p2p, abus,...) => pb utilisateur...

Derniers évènements majeurs: 2001 : Début du P2P abus très important de bande passante (>50% bande passante au début) 2003 : Explosion des virus (Saphir, Blaster & Co).

3 Fonctionnement Intranet et internet restent accessibles pour les mises à jour (virus/windows) permet de travailler un minimum (lire son mail + acces proxy) et de nettoyer la machine dans le cas d'une compromission Détection de problèmes par analyse passive : IDS snort (scan + signatures), analyse des logs (sendmail/clamav pour virus), analyse métrologie (netflow/netmet) Contrôle manuel puis Blocage et Signalement simultané : Adresse IP bloquée + Raison + Dates Courrier aux correspondants Redirection des machines sur une page web d'info (policy routing) l'utilisateur sait tout de suite pourquoi ça bloque Le correspondant du site doit explicitement demander la réouverture après résolution du problème En préventif : Analyse Active (nessus) permanente du campus (cyclique/20j) rapports envoyés aux correspondants pour info seulement (pas d'action obligatoire ou blocage sur cette base car pas assez fiable en général) quelques réaction négatives (sentiment d'être évalué?rapport très verbeux et pas 100% fiable) mais rapports appréciés dans la très grande majorité

Blocage et Signalement simultané : Adresse IP bloquée + Raison + Dates Courrier aux correspondants Redirection des machines sur une page web d'info (policy routing) l'utilisateur sait tout de suite

4 Organisation Pourquoi ça marche? Conseil d'administration REAUMUR Constituté des représentants des partenaires Soutient une politique sécurité ferme, réelle volonté d'avoir un réseau sécurisé Effet de Pression de groupe positif entre les entités partenaires de REAUMUR Confiance dans l'équipe aux commandes Impact favorable de la chaîne utilisateurs <-> correspondant locaux <-> REAUMUR <-> RENATER permettant une politique ferme Les correspondants locaux (admin des sites) ne sont pas responsables des filtrages et apprécient que ce soit mis en place au niveau inter-universitaire Les utilisateurs peuvent difficilement faire pression sur REAUMUR REAUMUR fait respecter les chartes RENATER et REAUMUR Service Réseau inter-universitaire bien perçu par les correspondants problèmes de compromission détectés en premier par REAUMUR dans plus de 95% des cas Réactions négatives exceptionelles des utilisateurs (sur violation de charte uniquement) : 2 ou 3 cas en 9 ans Exceptions toujours possible pour des besoins légitimes (ex: recherche sur P2P)

entre les entités partenaires de REAUMUR Confiance dans l'équipe aux commandes Impact favorable de la chaîne utilisateurs <-> correspondant locaux <-> REAUMUR <-> RENATER permettant une politique

5 Conclusion Une fois de plus, la technique seule, comme la politique seule ne résoud rien : les deux sont nécessaires. Le blocage est la seule méthode contraignant réellement l'utilisateur à (faire) nettoyer/entretenir sa machine et à respecter les chartes. avoir à demander la réouverture de sa machine est assez dissuasif. Limites - travail par adresse ip inadapté pour : les adresses dynamique, les proxy, les machines multiutilisateurs, la translation d'adresse,... Coopération avec les correspondants pour remonter à la source Nécessité du filtrage au vol en complément MAIS le filtrage au vol (ex: NBAR cisco) n'est pas suffisant car ne contraint pas l'utilisateur à changer d'attitude retard pour supporter les nouveaux protocoles Quelques chiffres : Depuis Janvier 2004, environ 50 blocages par mois (2 à 3 par jour ouvré) 60% virus (½ via courrier électronique, ½ via réseau - scan) 30% P2P 10% Autre (FTP Warez, Backdoor de redirection de spam, piratages...)

avoir à demander la réouverture de sa machine est assez dissuasif.

Documents pareils

LINUX - Sécurité. Déroulé de l'action. - 3 jours - Contenu de formation

LINUX - Sécurité. Déroulé de l'action. - 3 jours - Contenu de formation Objectif : Tout administrateur système et réseau souhaitant avoir une vision d'ensemble des problèmes de sécurité informatique et des solutions existantes dans l'environnement Linux. Prérequis : Connaissance