SECURIDAY 2013 Cyber War



Documents pareils
SECURIDAY 2012 Pro Edition

Réalisation d un portail captif d accès authentifié à Internet

DHCPD v3 Installation et configuration

Mise en place d un serveur DNS sous linux (Debian 6)

TP DNS Utilisation de BIND sous LINUX

But de cette présentation. Proxy filtrant avec Squid et SquidGuard. Serveur proxy. Serveur proxy. Hainaut P

Documentation FOG. 3. Choisir le nom de la machine, le nom d utilisateur et le mot de passe correspondant (par exemple : fog, password)

Zemma Mery BTS SIO SISR. Session Projets Personnels Encadrés

LOSLIER Mathieu. Filière Informatique et Réseau 1 ère année. TP DNS. Responsable : LOHIER Stephane. Chargé de TD : QUIDELLEUR Aurélie

- FICHE DE PROCEDURE - Configurer un serveur DNS avec Bind9 sur Debian

SQUID Configuration et administration d un proxy

2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES. 2.2 Architecture fonctionnelle d un système communicant.

Fonctionnement et mise en place d un reverse proxy sécurisé avec Apache. Dimitri ségard 8 mai 2011

Installation d un serveur HTTP (Hypertext Transfer Protocol) sous Débian 6

TP2 - Conguration réseau et commandes utiles. 1 Généralités. 2 Conguration de la machine. 2.1 Commande hostname

Pratique et administration des systèmes

SECURIDAY 2013 Cyber War

Configuration réseau Basique

TCP/IP, NAT/PAT et Firewall

3. Modifier la priorité Fichier Host/serveur DNS sous Windows

ASR4 Réseaux Département Informatique, IUT Bordeaux 1. DHCP Prénom : Nom : Groupe :

Ce TP consiste à installer, configurer et tester un serveur DNS sous Linux. Serveur open source : bind9 Distribution : Mandriva

Administration Système & Réseau. Domain Name System Historique & Concepts Fonctionnalités & Hiérarchie Requêtes & Base de donnée DNS

Il est possible d associer ces noms aux langages numérique grâce à un système nommé DNS(Domain Name System)

WEB APPLICATION FIREWALL AVEC APACHE ET MOD_SECURITY

JOMARON Sébastien BTS SIO 2012/2014. Titre de l activité: Surveiller des hôtes et des services avec NAGIOS

INSTALLATION NG V2.1 D OCS INVENTORY. Procédure d utilisation. Auteur : GALLEGO Cédric 23/10/2014 N version : v1

Principes de DHCP. Le mécanisme de délivrance d'une adresse IP à un client DHCP s'effectue en 4 étapes : COMMUTATEUR 1. DHCP DISCOVER 2.

Serveur DHCP et Relais DHCP (sous Linux)

BTS SIO SISR3 TP 1-I Le service Web [1] Le service Web [1]

Installation Serveur DNS Bind9 Ubuntu LTS

But de cette présentation. Serveur DHCP (Application à CentOS) Cas des machines virtuelles. Schéma de principe. Hainaut P

DNS. Olivier Aubert 1/27

MANUEL D INSTALLATION D UN PROXY

1/ Introduction. 2/ Schéma du réseau

Linux sécurité des réseaux

FILTRAGE de PAQUETS NetFilter

acpro SEN TR firewall IPTABLES

EPREUVE PRATIQUE DES TECHNIQUES INFORMATIQUES ACTIVITE N 1. Thème de l activité : Configuration d un firewall

Configurez votre Neufbox Evolution

IP & Co. 1. Service DHCP. L'objectif de ce TP est de voir l'ensemble des services élémentaires mis en oeuvre dans les réseaux IP.

SECURIDAY 2013 Cyber War

OCS Inventory & GLPI

Proxy et reverse proxy. Serveurs mandataires et relais inverses

Serveur proxy Squid3 et SquidGuard

CONFIGURATION FIREWALL

Le filtrage de niveau IP

Partie II PRATIQUE DES CPL

TP de réseaux : Domain Name Server.

Tuto 2 : Configuration Virtual box, Configuration et installation du serveur XiBO

Machine virtuelle W4M- Galaxy : Guide d'installation

Attribution dynamique des adresses IP

Bind, le serveur de noms sous Linux

DHCP et NAT. Cyril Rabat Master 2 ASR - Info Architecture des réseaux d entreprise

TP LINUX Travaux avec Debian ETCH

B1-4 Administration de réseaux

Oléane VPN : Les nouvelles fonctions de gestion de réseaux. Orange Business Services

Serveur de partage de documents. Étude et proposition d'une solution afin de mettre en place un serveur de partage de documents.

Redondance de service

MISE EN PLACE DU FIREWALL SHOREWALL

Installation et Configuration de Squid et SquidGuard sous Debian 7

Fonctionnement de Iptables. Exercices sécurité. Exercice 1

Réseau - VirtualBox. Sommaire

TD n o 8 - Domain Name System (DNS)

Serveur Linux : FTP. Mise en place d un service FTP sous Linux. Bouron Dimitri 20/04/2014

Administration Réseau sous Ubuntu SERVER Serveur DHCP

Compte-rendu du TP n o 2

TER Réseau : Routeur Linux 2 Responsable : Anthony Busson

Procédure d utilisation et de paramétrage (filtrage) avec IPFIRE

Mise en place de la G4100 pack avec Livebox

CONFIGURATION DE BASE. 6, Rue de l'industrie BP130 SOULTZ GUEBWILLER Cedex. Fax.: Tel.:

PROJET DASOËB AFTEC SIO 2. Bouthier Christophe. Dumonteil Georges. Jérémy Saumon. Alex Drouet. Présentation du plan de description. 0.

[Serveur de déploiement FOG]

SQUID I- Squid, c'est quoi? II- Comment ca marche? III- Où trouver des informations?

Protection des protocoles

ZEROSHELL NET BALANCING. Julien Dabin Page 1

Sécurité des réseaux Les attaques

Date : NOM Prénom : TP n /5 ET ADMINISTRATION D'UN

Installation de la plate-forme Liberacces 2.0 «Intégrale» avec LiberInstall

TP SECU NAT ARS IRT ( CORRECTION )

ACTION PROFESSIONNELLE N 4. Fabien SALAMONE BTS INFORMATIQUE DE GESTION. Option Administrateur de Réseaux. Session Sécurité du réseau

Administration réseau Résolution de noms et attribution d adresses IP

04/02/2014 Tutoriel. Lubuntu & glpi. thomas [NOM DE LA SOCIETE]

ROUTAGE. Répondez aux questions suivantes : (A chaque fois pour XP et pour Debian)

1 Configuration réseau des PC de la salle TP

Installer et configurer un serveur Zimbra

Université Pierre Mendès France U.F.R. Sciences de l Homme et de la Société Master IC²A. TP réseau firewall

Dynamic Host Configuration Protocol

I. Adresse IP et nom DNS

LAB : Schéma. Compagnie C / /24 NETASQ

Étude de l application DNS (Domain Name System)

L3 informatique Réseaux : Configuration d une interface réseau

Projet Semestre2-1SISR

Eole - gestion des dictionnaires personnalisés

Exemple : vous voulez tester votre site en local avant de l uploader via FTP chez votre hébergeur externe.

Windows Internet Name Service (WINS)

RTE Technologies. RTE Geoloc. Configuration avec Proxy ou Firewall

REPARTITION DE CHARGE LINUX

Transcription:

Club de la Sécurité Informatique à l INSAT Dans le cadre de la 3ème édition de la journée nationale de la sécurité informatique SECURIDAY 2013 Cyber War SECURINETS Atelier : DNS Sinkhole Présente Formateurs: 1. Wael EL HAJRI 2. Rania FLISS 3. HAJER MEHERZI 4. Khouloud GATTOUSSI 5. Samar JAMEL Copyright 2013 - SECURINETS - Club de la Sécurité Informatique à l INSAT www.securinets.com

Table des matières I.Presentation de l atelier:.....1 II.Presentation des outils utilisés :.......1 i.dnsmasq :......1 ii.apatch2:.....1 III.Topologie réseau :.....2 IV.Configuration des outils:...3 i. Installation du DNSMASQ:...3 ii. Configuration du DNSMASQ:.3 iii. Configuration des serveurs DNS à interroger dans le bon ordre:......5 V.Scénario de test:....8 1. Test du cache DNSMASQet mesure du temps de réponse:.....8 2. Blacklist et page de blockage:.... 8 i. Recupération de la liste hosts et installation :.... 11 ii. Modification du fichier blacklist/hosts :...11 iii. Mise en place d'une page de blockage :..12 VI.Conclusion:... 12 1

I.Presentation de l atelier : Dans le cadre de notre journée annuelle «Securiday», nous vous inviterons à découvrir notre atelier «DNS Sinkhole». Il est souvent appelé «DNS-Blackhle». C est un simple bind qui maintient une liste des domaines malveillants. Lorsque les clients demandent un domaine dans cette liste, ils seront tous redirigés vers l interface de notre machine DNSMASQ. II.Presentation des outils utilisés : i.dnsmasq : C est un outil à utiliser idéalement sur une machine linux placée derrière un accès Internet et pour desservir un réseau local. C est un serveur libre DHCP, DNS cache et intégrant une fonction de filtrage, facile à configurer. Parmi ses fonctionnalités : rediriger les requêtes DNS de certains domaines vers un serveur précis. - cache DNS : il conserve localement les enregistrements DNS et va servir de DNS favori pour les PC du réseau local. Si DNSMASQ ne connait pas un nom de domaine, il passe la main au serveur DNS habituel et ajoute ensuite la nouvelle résolution dans son cache. A la prochaine requête sur ce domaine, DNSMASQ répondra directement au client. -serveur DHCP : pour distribuer des adresses IP aux clients du réseau local. - filtrage : DNSMASQ peut utiliser un fichier hosts additionnel pour filtrer l accès aux domaines malveillants. Nous allons utiliser cette possibilité pour ajouter une «blacklist» de domaine à risques (malwares ) ii.apache2 : C est un serveur http libre 1

III. Topologie du réseau : L architecture réseau de la défense gérée par DNS Sinkhole est décrite par la figure cidessous : 2

IV. Configuration des outils : i.installation du DNSMASQ : La première chose à faire est de déterminer le nom de notre interface et l adresse ip avec la commande: # ifconfig Le paquet DNSMASQ est présent sur les dépôts Ubuntu donc pour l installation de DNSMASQ on utilise la commande suivante : #apt-get install dnsmasq ii.configuration de DNSMASQ : Pour la configuration de dnsmasq, il faut faire les étapes suivantes : -éditer le fichier /etc/dnsmasq.conf avec la commande gedit -renseigner l interface qui écoute le LAN (eth2) 3

-redémarrer le service DNSMASQ avec la commande #/etc/init.d/dnsmasq restart -vérifier les ports DNS en écoute sur «localhost» et l IP du réseau local avec la commande : # netstat -pan grep dnsmasq 4

iii.configuration des serveurs DNS a interroger dans le bon ordre : Par défaut, un client (notre machine Dnsmasq) connecté (eth2) à une box Internet en DHCP reçoit la liste de serveurs DNS à utiliser en même temps que son IP. Il s agit des serveurs DNS du FAI définis sur la box.sur la machine Dnsmasq, les serveurs DNS sont renseignés automatiquement dans le fichier /etc/resolv.conf et toute modification manuelle de ce fichier est écrasée à chaque nouvelle requête DHCP Si on fait une requête DNS, on va alors interroger directement les DNS du FAI et notre Dnsmasq ne sert à rien. Il faut placer l IP (192.168.202.132 sur eth2) de notre Dnsmasq en tête de liste, pour être certain de bénéficier du cache DNS. Pour ce faire, il faut passer par le fichier dhclient.conf avec la commande: #gedit dhclient.conf et forcer l ajout de notre IP en tête de liste par la commande : prepend domain-name-servers 192.168.202.132 5

Ensuite, renouveler le bail DHCP fourni par le box et vérifier le fichier resolv.conf avec la commande :#dhclient 6

Et vérifier les serveurs DNS présents dans resolv.conf avec la commande : #gedit /etc/resolv.conf nameserver 192.168.202.132 # notre dnsmasq sur eth0 nameserver 192.168.1.2 # le serveur DNS et passerelle Internet (Box) 7

V.Scénario de test : 1.test du cache DNSMASQ et mesure du temps du réponse : Une requête vers un site pas encore en cache : on utilise la commande suivante : #dig debian.org vérifier la ligne ;; Query time: 51 msec et refaire la même requête : # dig debian.org la réponse déjà en cache devrait être bien plus rapide;; Query time: 1 msec Pour que l ensemble des machines du LAN bénéficient de DNSMASQ, il suffit de leur indiquer comme premier serveur DNS, l adresse IP de eth02. 2.blacklist et page de blockage : Nous abordons ici la mise en place d une blacklist pour interdire automatiquement l accès à des domaines malveillants. La liste de ces domaines peut être obtenue sur des sites spécialisés. Nous allons installer la liste de MVPS. Elle est régulièrement mise à jour et semble tenir la route. Dans un deuxième temps, nous allons rediriger les requêtes DNS bloquées vers une page web personnalisée. i.recupération de la liste hosts et installation : Tout d abord on va télécharger le fichier hosts.zip à partir de site suivant http://www.mvps.org/winhelp2002/hosts.zip Décompressez le fichier hosts dans /var/local/blacklist/ par la commande unzip hosts.zip -d /var/local/blacklist/ Puis, indiquez à Dnsmasq l emplacement de ce fichier avec le paramètre addn-hosts: avec la commande # gedit /etc/dnsmasq.conf 8

addn-hosts=/var/local/blacklist/hosts ande # gedit /etc/dnsmasq.conf addn-hosts=/var/local/blacklist/hosts Redémarrer DNSMASQ avec la commande # /etc/init.d/dnsmasq restart 9

On peut voir tout les sites malveillants dans notre balcklist à travers la commande suivante : # gedit /var/local/blacklist/hosts 10

Et enfin, on peut faire un test de résolution DNS vers un site présent sur la blacklist, par exemple :# dig yads.zedo.com Le domaine est bien blacklisté et renvoie vers notre l adresse. Maintenant, en cas d accès à un site bloqué, l utilisateur se retrouve devant une page d erreur, indiquant que la connexion a échoué. C est normal, car sur son IP locale, il n y a pas, en règle générale, de service web pour répondre. On va rediriger le blocage vers une page personnalisée ii.modification du fichier blacklist/hosts : Par défaut, le fichier hosts de notre blacklist est adapté à une utilisation locale : tout site malveillant est associé à l adresse 127.0.0.1. Nous allons modifier le fichier pour renvoyer vers l interface eth0 de notre machine DNSMASQ (192.168.202.132). Pour ce faire, editez le fichier HOSTS, n importe quel éditeur de texte fait l affaire pour remplacer 127.0.0.1 par 192.168.202.132, par exemple avec gedit : # gedit /var/local/blacklist/hosts 11

:%s/127.0.0.1/192.168.202.132/ Il faut également supprimer la ligne présente en tête de fichier qui renvoie vers localhost: 127.0.0.1 localhost iii.mise en place d une page de blockage : On va d abord installer sur notre machine DNSMASQ un serveur web, par exemple Apache2 avec la commande :# apt-get install apache2 Puis, éditer le fichier de configuration des pages d erreur: par la commande : 12

# gedit /etc/apache2/conf.d/localized-error-pages et rediriger les erreurs 404 vers la page index.html : ErrorDocument 404 /index.html Redémarrer Apache avec la commande # /etc/init.d/apache2 restart Il ne reste plus qu à éditer la page /var/www/index.html et à personnaliser le message de blocage. 13

On dispose maintenant d une machine faisant du cache DNS et du filtrage web avec page de blocage. Ce type de dispositif associé à un filtrage sur navigateur comme Adblock Plus vous offre un accès confortable au web et permet d éviter pas mal de sites douteux. Maintenant si on ouvre notre navigateur et on saisit un domaine de la liste ou trouve le résultat suivant : VI.Conclusion: En conclusion, il est conseillé de configurer le DNS Sinkhole pour la détection et la prévention contre les activités malveillantes survenant entre le système de l ordinateur et l internet. 14

2026 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back