Administration et Architectures des Systèmes

Transcription

1 Les services réseaux Administration et Architectures des Systèmes Module AAS Services Réseaux 1

2 Section Les services réseaux Les services réseaux Module AAS Services Réseaux 2

3 Section : «Administration réseau» Session distante (SSH, VNC, tunnel) Gestion du temps Session distante Gestion des s Serveur WEB (apache) Serveur d impression (CUPS) Module AAS Services Réseaux 3

4 Session textuelle distante Unix est un système multiutilisateur Utilisation de consoles virtuelles Le réseau permet de se connecter sur n'importe quelle machine sur laquelle on possède un compte Session distante Outils de sessions non sécurisés : «telnet», «rsh», «rlogin», «login» «telnet»: Ouverture de session distante Peu configurable, pas sécurisé Ancien mais encore utilisé pour configurer les switchs Module AAS Services Réseaux 4

5 Les «r» utilitaires! Ports TCP: «rexec» 512, «rlogin» 513, «rsh»/ «rcp»514 rcp remote file copy : permet la copie entre hôte Session distante Utilisation de «utilisateur@nomhote:nomfichier» rlogin remote login : permet l ouverture de session Utilisation de «rlogin l utilisateur nomhote» Utilisateur de «rlogin utilisateur@nomhote» rsh remote shell : permet l exécution à distance rwho permet de savoir qui est loggé Module AAS Services Réseaux 5

6 Authentification des serveurs «r» L authentification se fait par mot de passe Comme pour telnet les mdp circulent EN CLAIR! Possibilité de spécifier des hôtes et des utilisateurs de confiance Ces utilisateurs peuvent se logger sans mdp Session distante Le fichier est /etc/hosts.equiv pour le système Le fichier est ~/.rhosts pour chaque utilisateur Le fichier utilise le format suivant : [ + - ] [ordinateur] [utilisateur] + autorise, - interdit. En cas de doublons, le 1 er l emporte! Une ligne + ajoute tout le monde!!! Attention à la sécurité des hôtes de confiance! Module AAS Services Réseaux 6

7 Les ancêtres et leurs défauts Session distante Il n y a pas besoin d être un génie pour les voler! Un simple sniffer (tcpdump / tethereal / ethereal / snoop) permet de capturer des mots de passe, les commandes exécutées, leurs résultats, Il existe des programmes de capture automatique dsniff : FTP, Telnet, SMTP, HTTP, POP, poppass, NNTP, IMAP, SNMP, LDAP, Rlogin, RIP, OSPF, PPTP MS-CHAP, NFS, VRRP, YP/NIS, SOCKS, X11, CVS, IRC, AIM, ICQ, Napster, PostgreSQL, Meeting Maker, Citrix ICA, Symantec pcanywhere, NAI Sniffer, Microsoft, SMB, Oracle SQL*Net, Sybase SQL, Microsoft SQL. ettercap : SSHv1, TELNET, FTP, POP, RLOGIN, SSH1, ICQ, SMB, MySQL, HTTP, NNTP, X11, NAPSTER, IRC, RIP, BGP, SOCKS 5, IMAP 4, VNC, LDAP, NFS, SNMP, HALF LIFE, QUAKE 3, MSN, YMSG Module AAS Services Réseaux 7

8 «telnet» Commandes échangés Session distante Mot de passe Bannière de login Module AAS Services Réseaux 8

9 Pourquoi? Session textuelle distante SECURISEE A cause des problèmes de sécurité, les outils r ont été abandonnés! Session distante Les analyses réseaux (password-sniffing) Outils de sessions sécurisés (ssh) : «slogin», «ssh», «scp», «sftp» SSH fournit un remplacement sécurisé pour rsh, rlogin, telnet,... La première version de ssh a été developpé en 1995 par Tatu Ylönen, un chercheur de l université d Helsinki Module AAS Services Réseaux 9

10 La suite d outils ssh Session distante OpenSSH est la suite ssh open-source! Il existe des versions commerciales La sécurité de SSH est offerte via l utilisation intensive du cryptage et de l authentification! Nécessité de comprendre son fonctionnement! VOIR LE MODULE SSI! Le protocole SSH est basé sur une architecture client/serveur Un utilisateur qui veut se connecter exécute la commande cliente ssh sur sa machine locale Le client va se connecter à un serveur (démon) SSH sur une machine distante Module AAS Services Réseaux 10

11 SSH v2 Remplace totalement la version 1 Améliore la sécurité et les performances SSH est à la fois un protocole et une suite d utilitaires! ssh un remplaçant pour rsh, et telnet Session distante scp un utilitaire de copie de fichier sécurisé (rcp) slogin un remplaçant pour rlogin, en général un lien vers ssh sftp une version sécurisé de ftp Il y a aussi des utilitaires de gestion des clefs Clients windows : putty winscp, filezilla Module AAS Services Réseaux 11

12 Configuration de SSHv2 Session distante Répertoire «/etc/ssh/» «ssh_config» pour la configuration par défaut du client «sshd_config» pour la configuration du serveur Répertoire «~/.ssh» id_dsa*, identity, id_rsa* Ce sont des clefs qui représentent l utilisateur Il ne faut pas laisser une clef sans mot de passe pour la protéger authorized_keys liste des clefs autorisées à se connecter Il suffit d ajouter le.pub au fichier known_hosts Liste des clefs des machines auquels l utilisateur s est déjà connecter Permet d éviter la substitution de la machine destinataire Lors de la réinstallation d une machine, il faut MAJ ce fichier Module AAS Services Réseaux 12

13 L identification par clef dans SSHv2 Session distante Principes Principes associés aux propriétés des clefs asymétriques Une partie secrète conservée par l entité Une partie publique donnée à tout le monde Chaque couple partie privée / partie publique est unique Une clef publique A ne peut pas aller avec une clef privée B Identification dans SSH Une clef asymétrique pour identifier les entités Deux type d algorithmes : RSA et DSA Des tailles de clefs correctes sont 1024/2048/4096 Génération de clefs par ssh-keygen Le fichier «.pub» est la partie publique de la clef Le fichier sans extension est la partie privée «ssh-keygen t dsa b 2048 C commentaire» Module AAS Services Réseaux 13

14 L identification par clef dans SSHv2 Session distante Les entités identifiées dans une connexion SSH La machine serveur La machine cliente Le compte utilisateur Un utilisateur peut conserver différentes clefs Notion de trousseau de clef électronique L utilisateur doit protéger ses clefs!!! cryptage des clefs privées!!! Il est possible de spécifier une clef pour chaque système distant Fichier «~/.ssh/config» Host cluster*.lip6.fr cluster* User legond IdentityFile ~/.ssh/clefa Host gdx*.orsay.grid5000.fr User flegond IdentityFile ~/.ssh/clefb Module AAS Services Réseaux 14

15 La gestion des clefs dans SSHv2 Session distante «ssh-agent» permet : de charger des clefs en mémoire de faire de l authentification «automatique» Lancement «eval `ssh-agent`» Ajout d une clef à l agent «ssh-add maclef» Associer une clef et une identité Une clef n est pas un certificat Ajouter la partie publique au fichier «~identite/.ssh/authorized_keys» Celui qui a la clef privée pourra assumer l identité RAPPEL : L utilisateur doit protéger ses clefs!!! cryptage des clefs privées!!! Module AAS Services Réseaux 15

16 L identification des machines dans SSHv2 Chaque machine à une clef Fichiers de clef «/etc/ssh/ssh_host_*_key» L utilisateur garde la clef publique de toutes les machines auxquels il a accédé : «~/.ssh/know_hosts» Si la clef change (attaque MITM, changement) : Session distante Module AAS Services Réseaux 16

17 OpenSSH: options du client Session distante -X/-x : interdire/autoriser le forward x11 -i : spécifier un clef numérique de connexion -g : autoriser la connexion distante sur les ports transférés -I : utiliser une carte à puce pour lire la clef numérique -N : n exécute aucune commande, seulement pour le transfert de ports -f : passer en arrière plan (utile avec N) -t/-t : (non) allocation d un pseudo-terminal -C : compression -o : passer des options du fichier «ssh_config» Module AAS Services Réseaux 17

18 Tunnels sortant (Port forwarding) Session distante Etablissement d un tunnel sortant TCP via SSH «-L port_local:hote_distante:port_distant» Toute connexion sur le port «port_local» de la machine local sera transférée sur le port «port_distant» de la machine «hote_distante» à partir de la machine où l on est connecté ssh -L 1999:src:25 scylla.lip6.fr :1999 OpenSSH Client Application neree.cnam.fr Intranet LIP6 (.lip6.fr) OpenSSH Server (scylla) Mail Server (src) :25 Module AAS Services Réseaux 18

19 Tunnels sortant (Port forwarding) Session distante Note : La connexion entre neree et scylla est cryptée par le protocole SSH. La connexion entre scylla.lip6.fr et src.lip6.fr n est pas cryptée. La connexion entre scylla et src reste interne au réseau LIP6 (ce n est pas une obligation mais un conseil) C est une «téléportation» de connexion :1999 OpenSSH Client neree.cnam.fr connexion encryptée Intranet LIP6 (.lip6.fr) OpenSSH Server (scylla) connexion en claire :25 Mail Server (src) Module AAS Services Réseaux 19

20 Tunnels entrant Session distante Etablissement d un tunnel entrant TCP via SSH «-R port_local:machine_distante:port_distant» Toute connexion sur le port «port_distant» de la machine distante «hote_distante» sera transférée sur le port local «port_local» ssh -R 2000:themis:4000 scylla.lip6.fr :1999 OpenSSH Client neree.cnam.fr Intranet LIP6 (.lip6.fr) OpenSSH Server (scylla) Application Mail Server (themis) :4000 Module AAS Services Réseaux 20

21 Tunnels SSH : Attention! Attention aux risques du port forwarding! Permet de contourner les règles de sécurités Contourner les filtres sortants en se connectant à une machine externe au réseau administré Session distante Contourner les filtres entrants en se connectant, de l extérieur, à une machine interne au réseau administré Ne pas faire d expérimentation. Le port forwarding doit être penser! Seul root peut transférer des ports privilégiés Module AAS Services Réseaux 21

22 VNC un remplaçant pour x11 Session distante X11: Possibilité d exécuter à distance des programmes peu efficace en terme de compression Peu adapté aux réseaux extranets Utilisation d un protocole multiplateforme : VNC Utilisé par MacOSX (natif), linux, windows «x2vnc» «vncserver», «Xvnc» qui crée un serveur x11 «vncpasswd» pour générer des mots de passes «vncviewer» pour se connecter au serveur Permet une configuration précise Nombre de couleurs, rescaling, compression, filtrage d évènements Module AAS Services Réseaux 22

23 Export X sécurisé et efficace Session distante Exemple avec un serveur realvnc ( Machine locale: On se connecte sur la machine distante (avec port forward)./ssh L 5901:localhost:5901 hote_distante.reseau.fr Machine distante: On lance le serveur sur le display :1 en utilisant les mots de passe contenu dans «vnc.passwd»./xvnc :1 -screen x1024x24 -passwordfile=./vnc.passwd -desktop "Xvnc:1" -localhost & Machine distante: On lance un environnement graphique léger (PAS KDE!)./wmaker & Machine locale: On lance un client vnc./vncviewer localhost:5901 & Module AAS Services Réseaux 23

24 Section : «Administration réseau» Session distante (SSH, VNC, tunnel) Gestion du temps Gestion du temps Gestion des s Serveur WEB (apache) Serveur d impression (CUPS) Module AAS Services Réseaux 24

25 Configuration de la Time Zone Identifier dans quelle fuseau horaire est la machine Pourquoi est utilisée la machine? Gérer le temps local en stockant le temps sous la forme : Gestion du temps GMT (Greenwich Meridian Time) temps solaire (variable) UTC (Coordinated Universal Time) temps universel Signer correctement les mails (avec un horodatage correct) Fuseaux horaires de la France CET = Central European Time for winter time CEST = Central European Daily Saving Time (or CET DST) for summer time Module AAS Services Réseaux 25

26 Network Time Protocol (NTP) Problème avec les horloges internes Elles ont une précision insuffisante Elles ne gèrent pas le changement d heure Elles dévient chaque jour un peu, tel que, par exemple Gestion du temps Time( t + 1s ) = Time( t ) + 1s + δ( t ) Conséquences Certaines actions ne seront pas exécutées au temps T cron daemon, authentification kerberos Les fichiers et s ne sont pas correctement horodatés Date d arrivée des mail fausse, problèmes de Makefile sur NFS,... Le but de NTP est double Resynchroniser totalement, à un instant t, l heure d une machine Gérer (annuler) en permanence le δ( t ) Permet de resynchroniser en douceur sans louper d évènements! Module AAS Services Réseaux 26

27 Network Time Protocol (NTP) Gestion du temps NTP a, en général, besoin d un serveur pour travailler NTP est tolérant aux fautes: Possibilité de fixer plusieurs sources NTP est coopératif: Plusieurs serveurs peuvent se coordonner Echanger des informations (uni et bi-directionnellement) NTP utilise les données collectés pour Etudier le comportement d une machine Maintenir la synchronisation même en cas de déconnexion NTP peut avoir une précision de l ordre de la nanoseconde Utilisation d algorithme complexe de dérivation de temps Estimation du temps de voyage de la trame Module AAS Services Réseaux 27

28 Strates NTP Les strates mesurent l éloignement d un serveur par rapport aux serveurs racines du temps UTC L horloge de référence est la strate 0 Les serveurs principaux de temps sont en strate 1 Gestion du temps Basés sur le GPS ou par ondes (DCF77) Il en existe environ 400 dans le monde Le nombre max. de strates est 15 Elles permettent d éviter les boucles lors d une synchronisation Les serveurs de strates 1 et certains de strates 2 ont des accès contrôlés Si un serveur NTP se synchronise sur un serveur de strate n, il devient un serveur de strate n+1 Module AAS Services Réseaux 28

29 Strates NTP Pour chaque strate : Les serveurs garantissent une certaine précision Il y a perte «contrôlée» de précision Gestion du temps Horloges physiques Strate 0 Serveurs spécialisés Strate 1 Serveurs d entreprise Strate 2 Clients Strate 3 Module AAS Services Réseaux 29

30 NTP: dans la pratique Un pool de serveurs NTP strate 1 et 2: «pool.ntp.org», «fr.pool.ntp.org» Gestion du temps Redondance grâce au service DNS Configuration : À l installation : un serveur peut etre choisi (ex: pool.ntp.org) Après installation : fichier /etc/ntp.conf pour la synchronisation au cours du temps Fichier /etc/ntp/step-tickers pour le synchronisation au démarrage Module AAS Services Réseaux 30

31 Fichier /etc/ntp.conf NTP Configuration server castor.lip6.fr #server pool.ntp.org Gestion du temps multicastclient yes # listen on default broadcastclient yes broadcastdelay authenticate no Le fichier «step-tickers» contient simple le serveur NTP Obtenir des informations sur l horloge local «ntptime» ou «ntpdc c kerninfo» Obtenir des informations : «ntpdc i» puis «help» Module AAS Services Réseaux 31

32 NTP Configuration Obtenir des informations : «ntpdc i»puis «help» Synchronisation de l horloge système «ntpdate ntp.pool.org» Gestion du temps Vérification de la synchro: «ntpdate -d castor» Synchronisation des horloges système et physique : «hwclock» Faire des requêtes NTP : «ntpq» Chemin des requêtes (eq. tracepath): «ntptrace» Informations sur le serveur NTP local: «ntpstat» Génération des clefs NTP: «ntp-keygen» Module AAS Services Réseaux 32

33 Section : «Administration réseau» Session distante (SSH, VNC, tunnel) Gestion du temps Gestion des s Gestion des s Serveur WEB (apache) Serveur d impression Module AAS Services Réseaux 33

34 Notion de service de messagerie A la base un service d échange de textes courts Gestion des s un transfert électronique de fichiers caractères ASCII Extension à des transferts de fichiers quelconques en structure et en contenu : le plus souvent avec une limitation sur la taille du fichier le plus souvent par un encodage en format caractère. Transmission asynchrone : l émetteur et le récepteur n ont pas a être connecté en même temps Terminologie : courrier électronique, courriel, mèl ( mail, ). Module AAS Services Réseaux 34

35 MUAs, MTAs, MDAs, MAAs Acronyme Description Exemple Mail User Agent MUA Le MUA est le programme que l utilisateur utilise pour lire ou envoyer des s. Le MUA envoie le message au MTA pour livraison. elm, pine, mutt, thunderbird, evolution Gestion des s Mail Transfert Agent MTA Mail Delivery Agent MDA Mail Access Agent MAA Le MTA sert de «routeur» de mail. Il achemine le message au serveur destinataire. Il utilise et manipule les entêtes des s pour les envoyer au MDA du destinataire. Le MDA accepte l et effectue le dépôt dans la boîte destinataire. Le MAA est le protocole qui permet de consulter une boîte . sendmail, postfix, qmail mail.local, procmail pop3, spop3, imap, imap ssl Module AAS Services Réseaux 35

36 Gestion des s Les protocoles pour le courrier électronique Protocole de livraison de mail (Extended) Simple Mail Transfert Protocol RFC 821 pour le SMTP RFC 1869, 1870, 1891, 1892, 1894, 2197, 2554, 1845 Principe de Store & Forward Spécification pour le contenu des mails MIME rfc obsolètes : rfc 1341, 1342, 1521, 1522, 1590, 2045 à 2049 Rfc MIME : 2184, 2231, 2387, 2426, 2557, 2646, 2822, 3023, 3798 SMIME (rfc 2311, 2632, 2633, 2634, 3850, 3851) Protocole (programme) de livraison des s procmail Protocole de consultation des mails POP3 (rfc 1725), IMAP (rfc 1730) Protocole de consultation des mails sécurisés spop3, IMAP SSL Module AAS Services Réseaux 36

37 MUAs, MTAs, MDAs, MAAs Gestion des s MTA src.lip6.fr MUA (elm) SMTP SMTP SMTP MTA isis.lip6.fr MTA osiris.lip6.fr Domaine lip6.fr SMTP SMTP MTA samoa.cnam.fr procmail SMTP MDA samoa.cnam.fr Boîte IMAP POP Domaine cnam.fr MUA MAA pop.cnam.fr Module AAS Services Réseaux 37

38 Mails: répartition de charge INTERNET Development Screened Subnets Firewall relay Gestion des s Access lists relay Router DeMilitarized Zone (DMZ) Config file Access lists Router relay relay Logs Analysis Office Selling Militarized Zone (MZ) Module AAS Services Réseaux 38

39 Consultation des s: Protocole pop3/imap Des protocoles dérivés du protocole SMTP. Gestion des s Spécialisés pour offrir des fonctions spécifiques de relève du courrier dans une boite à lettre. Fonctions de transfert de courrier d un serveur de messagerie vers un client de messagerie. Fonctions de gestion des archives de courrier (liste de messages en attente dans une boite, destruction de message ) Module AAS Services Réseaux 39

40 Consultation des s: Protocole pop3 Le protocole de relève le plus simple. Gestion des s Le plus souvent utilisé en transfert définitif des messages d une boite à lettre d un serveur de messagerie vers un client de messagerie. Ne gère pas les archives de courrier sur le serveur. Convient bien à l utilisation à partir du même poste client de messagerie Module AAS Services Réseaux 40

41 Consultation des s: Protocole pop3 - primitives Gestion des s Messages POP3 principaux USER: Fourniture du nom de la boite à lettre PASS: Fourniture du mot de passe en clair APOP: Fourniture cryptée du mot de passe STAT: Nombre de messages dans la boite LIST: Liste des messages présents RETR n: Transfert du message n DELE n: Marquage message pour la suppression LAST: Numéro du dernier message consulté RSET: Annulation des actions d une session QUIT: Fin de session. Module AAS Services Réseaux 41

42 Consultation des s: Protocole imap Protocole le plus complet. Gère les archives de courrier sur le serveur Dossier de base INBOX pour les nouveaux messages Gestion des s Primitives de création de dossiers Primitives de transferts entre dossiers. Minimise les échanges de données sur le réseau. Le plus souvent utilisé en laissant les courriers dans la boite à lettre du serveur de messagerie. Un protocole adapté à la consultation à partir de différents poste clients Module AAS Services Réseaux 42

43 Consultation des s: Protocole imap - primitives Gestion des s AUTHENTICATE : Mécanisme d authentification choisi. LOGIN : Usager mot de passe. LOGOUT : Fin de session IMAP. CREATE/DELETE/RENAME : Nom de boite à lettre. SELECT/EXAMINE : Nom de boite à lettre. LIST/LSUB/STATUS : Etat de la boite à lettre. EXPUNGE/CLOSE : Détruit les messages marqués (et ferme). SEARCH : Recherche de message sur différents critères. FETCH : Récupération des données concernant un courrier. COPY : Recopie d un message d une boite à lettre dans une autre. CAPABILITY : Liste des fonctions implantées d un serveur. NOOP : Opération vide (maintient de connexion). Module AAS Services Réseaux 43

44 Envoi de mail: Protocol SMTP - primitives Chaque requête (un message du protocole SMTP) correspond à une ligne de texte HELO <SP> <domaine> <CRLF> Gestion des s L ouverture de session entre le client et le serveur «domaine» peut être falsifié. Le serveur ajoute au message le nom de domaine FQDN ou l IP du client MAIL <SP> FROM: <route-retour> <CRLF> Définit l'adresse mail de l'émetteur (utilisé pour le retour éventuel d'erreurs) Peut être falsifié! RCPT <SP> TO: <route-aller> <CRLF> Définit l'adresse d un destinataire. Peut être falsifié! Le routage du courrier est possible en donnant une liste de MTA à visiter : routage par la Hote_2:usager@ Hote_3 Routage (relay) à INTERDIRE!!!!!! DATA <CRLF> Définit l'enveloppe (l'entête) et le corps (le texte) du message. «.» : termine le message QUIT <CRLF> Termine le connexion au serveur courrier Module AAS Services Réseaux 44

45 Envoi de mail: Protocole SMTP - primitives RSET : Commande pour abandonner le courrier en cours de transmission et restaurer la connexion. Gestion des s VRFY : Commande pour vérifier une adresse de destinataire sans lui transmettre de courrier (utilisable pour déterminer la cause d un problème ou contre le spam). NOOP : Commande vide qui oblige simplement le serveur à répondre 200 OK. EXPN : Expansion d une liste de diffusion ( mailing list ). TURN : Inversion des rôles client et serveur pour envoyer du courrier dans l autre sens sans ouvrir une nouvelle connexion TCP. Module AAS Services Réseaux 45

46 Envoi de mail: Protocole SMTP - Code de retour Structure du mail (après le DATA): From: adresse émetteur To: adresse destinataire Date: date de création du message Gestion des s Puis deux lignes vides et le contenu du mail Code réponse et explication textuelle: xyz <SP> <texte> <CRLF> xyz: Type de réponse en numérique 1yz: Positif, a suivre 2yz: Requête satisfaite 5yz: Réponse négative x0z: Syntaxe x2z: Etat de la connexion x5z: Etat du système de messagerie texte: Explications en clair Module AAS Services Réseaux 46

47 Serveurs libres: Serveurs de messagerie (MTA) Sendmail (depuis 1980), Auteur principal Eric Allman, version en septembre 2003, 40%, problèmes de sécurité et de configuration (fichier sendmail.cf) Postfix (depuis 2001) Auteur principal Vietse Venema, projet IBM Vmailer, 5%, configuration assez simple. En progression. Exim (depuis 1995) Auteur Principal Philippe Hazel, 5% Qmail (depuis 1997) Auteur Dan Bernstein 8% Considérés comme meilleurs : Postfix et Qmail Serveurs payants: Exchange/Internet Information Service (MTA commun Microsoft à la mesagerie exchange et au serveur web IIS) 20% Lotus Notes/Domino (IBM) 2% IMAIL (Ipswitch) 7% Solution intégrée Sun iplanet Module AAS Services Réseaux 47

48 Le vénérable ancêtre : «sendmail» Des dizaines de milliers de ligne de code Pour les très gros serveurs Nécessite des connaissances importantes! Gestion des s Il existe des administrateurs sendmail (spécialistes) Google «sendmail tutorial» 400k réponses Il existe des bouquins entiers! Voir les URL: Introduction to sendmail Module AAS Services Réseaux 48

49 Configuration Presque toutes les options sont dans /etc/mail/sendmail.cf Le fichier est lu seulement au démarrage Définit les programmes et leurs options Gestion des s Définit les règles de ré-écriture des entêtes des s Le fichiers «sendmail.cf» est des plus abscond! O (option), R (règles de ré-écriture), Il est préférable d utiliser un processeur de macro Convient dans 95% des cas Le logiciel utilisé est m4 Utilisation de macros prédéfinies i.e. :«define ( macro, value )» Puis exécution de «m4 monsendmail.mc > /etc/sendmail.cf» Module AAS Services Réseaux 49

50 Le «petit» nouveau: postfix Pourquoi postfix? Facile à administrer : variables parlantes Sécurisé : non suid/sgid, chroot Gestion des s Modulaire : plusieurs queues et binaires Compatible avec sendmail Plus rapide que sendmail (pour les petites et moyennes unités) Module AAS Services Réseaux 50

51 Fichiers de configuration Outils postfix Gestion des s «/etc/postfix/*» et en particulier «/etc/postfix/main.cf» Outils de gestion postfix Nombreux et parlants! postconf postfix, postdrop, postqueue postlog, postmap, postalias, postsuper Module AAS Services Réseaux 51

52 Configuration PostFix des clients Gestion des s Configuration «null-client» Sur les postes utilisateurs Agit comme un simple relai d (ATTENTION!!!) Si l on doit passer de sendmail à postfix sous linux alternatives set mta /usr/sbin/sendmail.postfix /etc/postfix/main.cf myhostname = machine1.lip6.fr mydomain = lip6.fr myorigin = $mydomain relayhost = src.lip6.fr mydestination = mynetworks = /8, /24 Démarrer le service: /etc/init.d/postfix start Tester (voir /var/log) Module AAS Services Réseaux 52

53 Configuration PostFix des serveurs Gestion des s #FICHIER /etc/postfix/main.cf #alias de mail (ie: Fabrice.Legond-Aubry login: legond) alias_database = dbm:/etc/postfix/aliases #nom du serveur myhostname = isis.lip6.fr mydomain = lip6.fr myorigin = lip6.fr relayhost = isis.lip6.fr #les domaines locaux mydestination = $myhostname, $myorigin, localhost.$mydomain inet_interfaces = $myhostname, localhost masquerade_domains = $myorigin masquerade_exceptions = root #les domaines autorises pour les connexions de relais mynetworks = /8, /24, /24 #home_mailbox = Mailbox #mail_spool_directory = /var/mail #type de boîtes mail local: MailDir, dans les homedirectory home_mailbox = MailDir/ mail_spool_directory = /home mailbox_command = /usr/bin/procmail #aliases et autres règles de transformations alias_maps = dbm:/etc/postfix/aliases, nis:mail.aliases canonical_maps = dbm:/etc/postfix/canonical transport_maps = dbm:/etc/postfix/transport Module AAS Services Réseaux 53

54 Configuration PostFix des serveurs Fichier «/etc/postfix/transport» Gestion des s Remplace les règles par défaut ($mydestination) Contenu possible: «src.lip6.fr local:» Fichier «/etc/postfix/aliases» (aliases sous sendmail) : Contenu possible : «Prenom.Nom: login» Les Listes de diffusion Contenu possible : «alias_labo: :include:/etc/postfix/listes_labo» Fichier «/etc/postfix/canonical» (revaliases sous sendmail) : Contenu possible : «login Prenom.Nom» Exécution des commandes pour créer les bases postalias /etc/postfix/aliases postmap /etc/postfix/canonical /etc/postfix/transport Arrêt de sendmail, Démarrage de postfix Tests: «tail f»dans«/var/log/» Avec un compte utilisateur (mail entrant et sortant) Avec une liste Module AAS Services Réseaux 54

55 Buts de la lutte anti-spams Eliminer les spams en réception Eviter l'émission ou le relai de spams Limiter la dégradation de la qualité de service existante Gestion des s Eviter les pertes de messages (faux positifs) Maintenir la disponibilité Ne pas (trop) dégrader les délais de transmission des messages valides Mettre à jour les outils anti-spams (en PERMANENCE) Adapter l architecture des serveurs (en PERMANENCE) Choisir les méthodes que l'on va utiliser Faire converger les solutions anti-spams et anti-virus Module AAS Services Réseaux 55

56 Typologie des outils anti-spams 1. analyse comportemental consiste à exploiter certains comportements caractéristiques des messages de spams : non respect des rfcs, nombre de messages émis,... Gestion des s 2. analyse de contenu par utilisation de différentes techniques permettant l'analyse du contenu des messages pour déterminer si un message est un spam ou non. 3. Utilisation de blacklists, de whitelists et/ou greylist 4. utilisation de protocoles spécifiques Vérifier la provenance du message (spf) Vérifier l authenticité (caller-id, Domain Keys, IIM,...) Module AAS Services Réseaux 56

57 Anti-spam: où placer les filtres Réserver les méthodes les plus «subjectives» sur les serveurs proches des utilisateurs méthodes type «analyse de contenu» (algorithme baysien) Action : tag Appliquer sur les serveurs frontaux les méthodes les plus «objectives» Gestion des s méthodes de type «analyse comportemental» les antivirus Action : rejet La plupart des méthodes ne sont pertinente qu en association avec d autres méthodes Exemple : les protocoles anti usurpation d adresses (SPF, DomainKey etc) peuvent fournir de bon indice pour consolider un filtre bayesien. Recommandations RFC 2505 Module AAS Services Réseaux 57

58 Technique anti-spam: règles de base Gestion des s Interdire le source routing: Interdire les adresses avec indication de routage Ne pas émettre/accepter un mail sans domaine dans le from/to Interdire les connexions à partir non attribuées Vérifier la validité du domaine d émission: La machine/domaine est enregistrée dans le DNS La machine/domaine est enregistrée dans le DNS reverse Le passage domaine ip domaine est idempotent Vérification de la délégation de zone Ajouter des informations à chaque serveur traversé (Received) Logger toutes les tentatives de spam Interdire le relais de s par extérieures au domaine Interdire le SMTP sur les serveurs externes aux domaines Module AAS Services Réseaux 58

59 Technique anti-spam: RBL/RWL Gestion des s RBL = Real-time Spam Black Lists Une liste publique connues pour être des sources de spam Utiliser pour interdire tous les mails provenant de Pb: Difficile de sortir de ces listes RWL = Real-time Spam White Lists Une liste (privée) en qui votre serveur à confiance (ce n est pas un spammer) On ne vérifie que les virus Ces listes doivent être maintenues sur le serveur (MAJ 1/jour) Il existe plusieurs sources dsbl.org/, Dans laquelle faut-il avoir confiance? Module AAS Services Réseaux 59

60 Technique anti-spam: Greylist Gestion des s Serveur de spam : Pas de gestion des spools de messages différence comportementale entre les moteurs d envois de spams et les MTA normaux Greylisting : C est une méthode qui consiste à constituer un triplet de de du destinataire) à partir de tout mail qui arrive. Si le triplet est inconnu, on le met dans une base (il devient gris) et on refuse temporairement le mail. Si ce message revient dans un intervalle de temps défini et paramétrable, on l'accepte et on le "blanchit". Si le triplet est blanc ou blanchi, on l'accepte. Tout triplet gris est détruit au bout d un certain délai. Tout triplet blanchi et non réutilisé est détruit au bout d un certain délai. Module AAS Services Réseaux 60