Expérience : blocage de machines sur un campus



Documents pareils
LINUX - Sécurité. Déroulé de l'action. - 3 jours - Contenu de formation

Linux. Sécuriser un réseau. 3 e édition. l Admin. Cahiers. Bernard Boutherin Benoit Delaunay. Collection dirigée par Nat Makarévitch

ManageEngine Netflow Analyser

Aperçu technique Projet «Internet à l école» (SAI)

Sécurité des Postes Clients

Firewall IDS Architecture. Assurer le contrôle des connexions au. Sécurité 1

CONDITIONS PARTICULIÈRES DES HÉBERGEMENTS MUTUALISES DE SITES INTERNET

Dr.Web Les Fonctionnalités

Indicateur et tableau de bord

Nom : Prénom : Fait à : PESSAC Le : SIGNATURE :

REAUMUR-ACO-PRES. Wifi : Point et perspectives

laposte.net) Ministère de l'éducation nationale Atelier sécurité Rabat RALL 2007

TR2 : Technologies de l'internet. Chapitre VI. NAT statique et dynamique Overloading (PAT) Overlapping, port Forwarding Serveur Proxy, DMZ

CONFIGURATION DE BASE

Tendances de la sécurité informatique à l IN2P3. Actions pour renforcer la sécurité. Sécurité Cargèse 2001 Bernard Boutherin 1

Point de situation et plan d'action du SITEL 04/ /2001

KASPERSKY SECURITY FOR BUSINESS

OpenDNS: Un DNS rapide et utile

CONFIGURATION DE BASE. 6, Rue de l'industrie BP130 SOULTZ GUEBWILLER Cedex. Fax.: Tel.:

GUIDE D INSTALLATION DE FIREWALL OPEN SOURCE

Créée en 2002, la société PineApp est pionnière sur le. Le siège de la société se trouve aux États-Unis, avec des

Réseaux. Moyens de sécurisation. Plan. Evolutions topologiques des réseaux locaux

Détection d'intrusions et analyse forensique

Alexis Lechervy Université de Caen. M1 Informatique. Réseaux. Filtrage. Bureau S3-203

Présentation du modèle OSI(Open Systems Interconnection)

PACK SKeeper Multi = 1 SKeeper et des SKubes

VTX Secure Sonicwall

Royaume du Maroc. Université Hassan II - Casablanca.

Groupe Eyrolles, 2004, ISBN :

Symantec Protection Suite Enterprise Edition Protection éprouvée pour les terminaux, la messagerie et les environnements Web

Firewall. Souvent les routeurs incluent une fonction firewall qui permet une première sécurité pour le réseau.

Accès Gratuit - Conditions Générales d'utilisation

CONFIGURATION DE BASE

USERGATE PROXY & FIREWALL. Protection exhaustive de réseau corporate, optimisation de trafic Internet, administration flexible

Protection exhaustive de réseau corporate, optimisation de trafic Internet, administration flexible

Sécurité des réseaux Les attaques

Présentation du ResEl

Comment se protéger contre les s suspicieux?

Chapitre 2 Rôles et fonctionnalités

Formation SCRIBE EAD

Gestionnaire des services Internet (IIS)

Le filtrage de niveau IP

Activation Vista et Windows Server 2008

Une nouvelle approche globale de la sécurité des réseaux d entreprises

CONFIGURATION DE BASE

Lyon, mardi 10 décembre 2002! "#$%&"'"# &(

LINUX REDHAT, SERVICES RÉSEAUX/INTERNET

Ubuntu Linux Création, configuration et gestion d'un réseau local d'entreprise (3ième édition)

Hébergement WeboCube. Un système performant et sécurisé. Hébergement géré par une équipe de techniciens

Faits techniques et retour d'expérience d'une cellule d'expertise dans la lutte contre le code malveillant. EdelWeb / Groupe ON-X

L exemple d un serveur Proxy sous Windows NT 4 SERVER MICROSOFT PROXY SERVER 2 Installation et configuration Auteur : Eliane Bouillaux SERIA5

Mise en œuvre d une Gateway HTTP/HTTPS avec un serveur de Présentation en DMZ

Proxy et reverse proxy. Serveurs mandataires et relais inverses

IPS : Corrélation de vulnérabilités et Prévention des menaces

MANUEL D INSTALLATION D UN PROXY

Spécifications de raccordement au service de Téléphonie sur IP (ToIP) de RENATER

Le travail collaboratif et l'intelligence collective

Charte de bon Usage des Ressources Informatiques, de la Messagerie et de l Internet

SQUID P r o x y L i b r e p o u r U n i x e t L i n u x

Intérêt du NAT (Network Address Translation) Administration Réseau Niveau routage. Exemple d Intranet. Principe NAT

Un serveur FTP personnel, ça ne vous a jamais dit?

COMMENT PROTÉGER LE FLUX SORTANT?

NAS 224 Accès distant - Configuration manuelle

Catalogue «Intégration de solutions»

Fiche descriptive de module

Fiches micro-informatique SECURITE LOGIQUE LOGIxx

2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES. 2.2 Architecture fonctionnelle d un système communicant.

Logiciels de détection d intrusions

RTE Technologies. RTE Geoloc. Configuration avec Proxy ou Firewall

MAUREY SIMON PICARD FABIEN LP SARI

Routeurs de Services Unifiés DSR-1000N DSR-500N DSR-250N

Réglement intérieur. Supélec Rézo

Dispositif e-learning déployé sur les postes de travail

GENERALITES. COURS TCP/IP Niveau 1

CONDITIONS PARTICULIERES DE LOCATION D'UN SERVEUR DEDIE. Dernière version en date du 01/07/2014

CONFIGURATION DE BASE

CONDITIONS PARTICULIERES DE LOCATION D'UN SERVEUR DEDIE. Dernière version en date du 3 novembre 2009

A. Sécuriser les informations sensibles contre la disparition

Les messages d erreur d'applidis Client

Restriction sur matériels d impression

Symantec MessageLabs Web Security.cloud

Jean-Louis Cech descente des Princes des Baux Orange Orange : 20 juin 2014.

THEGREENBOW FIREWALL DISTRIBUE TGB::BOB! Pro. Spécifications techniques

Une nouvelle approche globale de la sécurité des réseaux d entreprises

Votre univers scpobx

Présentation du Serveur SME 6000

Bravo! Vous venez d acquérir un routeur large bande à 4 ports Conceptronic C100BRS4H.

Manuel d installation UCOPIA Advance

Procédure d utilisation et de paramétrage (filtrage) avec IPFIRE

Fonctionnement de Iptables. Exercices sécurité. Exercice 1

Licence professionnelle Réseaux et Sécurité Projets tutorés

Glossaire. Acces Denied

La Solution Crypto et les accès distants

La Gestion des Applications la plus efficace du marché

Appliances et logiciels Security

escan Entreprise Edititon Specialist Computer Distribution


Projet Sécurité des SI

Positionnement produit

Transcription:

Expérience : blocage de machines sur un campus Journée Réseaux Sans Fil - 13 Octobre 2004 Laurent FACQ facq@u-bordeaux.fr Directeur Technique & Responsable Sécurité du réseau REAUMUR Objet : Expérience sur comment arriver à bloquer toutes les machines à problèmes (compromises ou abus de ressources) Réseau REAUMUR REseau Aquitain des Utilisateurs des Milieux Universitaire et de Recherche

Contexte Cadre : REAUMUR Campus = Réseau inter-universitaire Bordelais de l'ordre de 10.000 machines 50.000 utilisateurs potentiels, classe B routée. débit RENATER : 100Mbps, une centaine de routeurs & commutateurs 210 correspondants Expérience : 9 ans d'activité sécurité analyse réseau passive (IDS maison puis snort) et active (satan puis nessus) Derniers évènements majeurs: 2001 : Début du P2P abus très important de bande passante (>50% bande passante au début) 2003 : Explosion des virus (Saphir, Blaster & Co). Entre Août 2003 et Mai 2004 : 900 machines Windows infectées et bloquées! Fermeté : Blocage de l'accès Internet des machines à problèmes (sans aucune distinction : avec ou sans fil, administration, recherche, pédagogie,...) compromise (vers, piratage,...) => pb machine violation charte (p2p, abus,...) => pb utilisateur...

Fonctionnement Intranet et internet restent accessibles pour les mises à jour (virus/windows) permet de travailler un minimum (lire son mail + acces proxy) et de nettoyer la machine dans le cas d'une compromission Détection de problèmes par analyse passive : IDS snort (scan + signatures), analyse des logs (sendmail/clamav pour virus), analyse métrologie (netflow/netmet) Contrôle manuel puis Blocage et Signalement simultané : Adresse IP bloquée + Raison + Dates Courrier aux correspondants Redirection des machines sur une page web d'info (policy routing) l'utilisateur sait tout de suite pourquoi ça bloque Le correspondant du site doit explicitement demander la réouverture après résolution du problème En préventif : Analyse Active (nessus) permanente du campus (cyclique/20j) rapports envoyés aux correspondants pour info seulement (pas d'action obligatoire ou blocage sur cette base car pas assez fiable en général) quelques réaction négatives (sentiment d'être évalué?rapport très verbeux et pas 100% fiable) mais rapports appréciés dans la très grande majorité

Organisation Pourquoi ça marche? Conseil d'administration REAUMUR Constituté des représentants des partenaires Soutient une politique sécurité ferme, réelle volonté d'avoir un réseau sécurisé Effet de Pression de groupe positif entre les entités partenaires de REAUMUR Confiance dans l'équipe aux commandes Impact favorable de la chaîne utilisateurs <-> correspondant locaux <-> REAUMUR <-> RENATER permettant une politique ferme Les correspondants locaux (admin des sites) ne sont pas responsables des filtrages et apprécient que ce soit mis en place au niveau inter-universitaire Les utilisateurs peuvent difficilement faire pression sur REAUMUR REAUMUR fait respecter les chartes RENATER et REAUMUR Service Réseau inter-universitaire bien perçu par les correspondants problèmes de compromission détectés en premier par REAUMUR dans plus de 95% des cas Réactions négatives exceptionelles des utilisateurs (sur violation de charte uniquement) : 2 ou 3 cas en 9 ans Exceptions toujours possible pour des besoins légitimes (ex: recherche sur P2P)

Conclusion Une fois de plus, la technique seule, comme la politique seule ne résoud rien : les deux sont nécessaires. Le blocage est la seule méthode contraignant réellement l'utilisateur à (faire) nettoyer/entretenir sa machine et à respecter les chartes. avoir à demander la réouverture de sa machine est assez dissuasif. Limites - travail par adresse ip inadapté pour : les adresses dynamique, les proxy, les machines multiutilisateurs, la translation d'adresse,... Coopération avec les correspondants pour remonter à la source Nécessité du filtrage au vol en complément MAIS le filtrage au vol (ex: NBAR cisco) n'est pas suffisant car ne contraint pas l'utilisateur à changer d'attitude retard pour supporter les nouveaux protocoles Quelques chiffres : Depuis Janvier 2004, environ 50 blocages par mois (2 à 3 par jour ouvré) 60% virus (½ via courrier électronique, ½ via réseau - scan) 30% P2P 10% Autre (FTP Warez, Backdoor de redirection de spam, piratages...)

2026 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back