Formation A2IMP Principes de base en administration La Grande Motte 12 et 13/09/2006 Denis PUGNÈRE IPNL / IN2P3 - <d.pugnere@ipnl.in2p3.fr>
Som m aire Synchronisation des systèmes Centralisation des traces Organisation des espaces de sauvegarde 2
Syn ch ron isation Les horloges internes des machines (serveurs, PC...) ne sont pas fiables => dérive dans le temps Il existe des références précises : Radio : émetteurs de France Inter à Allouis, norme DCF77 à Mainflingen), GPS Accessibles via le réseau : Protocole ntp (RFC 1305) 1 milliseconde < Précision < quelques 10èmes de millisecondes Liste : http://www.cru.fr/ntp/serveurs_francais.html Accessibles librement ou soumis à déclaration ou autorisation d'utilisation 3
Qu oi et com m en t syn ch ron iser? Tout, par ordre de priorité : Serveurs et matériels réseau Postes clients Exemple : utiliser le protocole NTP diffusé sur le réseau : Serveurs références, hiérarchisés (strates) Paquets de type UDP, port distant n 123 Peut être re-diffusé sur le réseau local par un serveur NTP local 4
Syn ch ron isation d'u n rou teu r Certains routeurs peuvent être à la fois client NTP et serveur Ils peuvent diffuser en broadcast local les annonces NTP Exemple CISCO : interface Vlan1 description vlan labo ip address 192.168.0.1 255.255.255.0! diffusion en broadcast ntp ntp broadcast destination 192.168.0.255!! notre serveur ntp de reference est krishna.via.ecp.fr ntp server 138.195.130.71 5
Syn ch ron isation Un ix Le package ntp contient un fichier ntp.conf et un fichier ntp.drift Exemple du fichier /etc/ntp.conf: driftfile /var/lib/ntp/ntp.drift server 0.fr.pool.ntp.org server 1.fr.pool.ntp.org server 2.fr.pool.ntp.org Puis redémarrer le service ntp 6
Syn ch ron isation Win dow s Nativement, sous Windows NT/2000/XP Configuration : net time /setsntp:138.195.130.71 Vérification : net time /querysntp Démarrer le service horloge de Windows : net start w32time Ou, dans le panneau services : choisir le service «Horloge windows» et démarrage automatique http://www.microsoft.com/windows2000/techinfo/ howitworks/security/wintimeserv.asp Application tierce : http://nettime.sourceforge.net/ 7
Les logs Capturer et enregistrer les évènements significatifs Souvent répartis : par système : windows (format propriétaire interne), Application/service : serveur web (apache, IIS, Active Directory, contrôle d'accès Hétérogènes : En format (cisco IOS, cisco PIX, iptables, ipchains, pf, ipfilter...) Type : évènements mélangés : type ALERT, INFO Sur serveurs, postes clients 8
Les logs sou s MS- Win dow s 3 catégories : Applications Système Sécurité Description des événements : http://www.microsoft.com/technet/support/ee/ee_advanced.aspx http://www.eventid.net/search.asp Il est possible de les exporter vers un serveur SYSLOG http://www.intersectalliance.com/projects/snarewindows/index.html http://www.kiwisyslog.com/info_sysloggen.htm http://ntsyslog.sourceforge.net/ 9
Les logs sou s Un ix Gestion des logs sous unix généralement confiée au package syslog Extrait d'un fichier de configuration : /etc/syslog.conf # Log anything (except mail) of level info or higher. # Don't log private authentication messages! *.info;kern.!=info;mail.none;authpriv.none;cron.none;kern.none /var/log/messages # The authpriv file has restricted access. authpriv.* /var/log/secure # Log all the mail messages in one place. mail.* -/var/log/maillog # iptables pour voir tous les paquets stoppes et loggues kern.=info /var/log/iptables Certaines application enregistrent directement les logs dans le répertoire /var/log (exemple : apache, squid) La rotation des logs peut être assurée par un package (exemple : logrotate) ou géré directement par l'application 10
Cen tralisation des traces Technique qui consiste à ce que chaque élément actif d'un système d'information envoie ses journaux à un système dédié qui les réceptionne et les enregistre. Avantages recherchés : Pérénité : en rapport avec la législation en vigueur Intégrité : localisation différente de la source Corrélation : facilité apportée par la centralisation Grâce à la centralisation des logs et aux post-traitements rendus possibles 11
Valeu r ajou tée IDS (Systèmes de détection d'intrusion) : Réseau : Snort... Hybride (réseau et système) : prelude-ids... Systèmes : Surveillance des fichiers journaux : logcheck, logwatch, swatch, OSSEC... Contrôles d'intégrité des fichiers : tripwire, samhain, AIDE Détection de comportements douteux : portsentry, scanlogd, lids, systrace... Traitement de logs de pare-feux (detescan, anapirate, fwlogwatch...) Alertes, visualisation Archivage 12
Exem ple cen tralisation : u n ix Iptables client : # connexions deja etablies -A RH-Firewall-1-INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT # ssh -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT # http apache -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT # on loggue le reste -A RH-Firewall-1-INPUT -j LOG --log-level info -A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited Unix client : ce client envoie tous les logs à la machine loghost.labo.fr. Extrait du fichier /etc/syslog.conf... *.* @loghost.labo.fr... 13
Exem ple cen tralisation : cisco Les routeurs et switchs implémentent un client syslog Capacité à envoyer des logs sur plusieurs evennements : État des interfaces Connexions au routeur lui même (configuration) Violation de la politique de filtrage : logging trap debugging logging facility local5! envoie des logs sur loghost.labo.fr logging 192.168.1.20!service de la passerelle (ssh) : on loggue access-list 101 permit tcp any host 192.168.1.200 eq 22 log!service du serveur web : on loggue pas access-list 101 permit tcp any host 192.168.1.100 eq 80! puis en entree : TOUT LE RESTE EST BLOQUE access-list 101 deny tcp any any log access-list 101 deny udp any any log 14
Serveur Syslog serveu r Syslog : lancer le daemon avec l'option -r Ouvrir le filtre de paquets pour laisser passer le 514/UDP Syslog-ng [1] : évolution de syslog Optimisé pour traiter un grand nombre de clients Possibilité de tri sur le contenu des messages Possibilité de rediriger les messages Protocoles 514/TCP et 514/UDP utilisés Possibilité de mise en cage [1] : voir présentation de F.Bongat : syslog-ng de 02/2005 15
Plan de reprise su r in ciden t Il se peut que les CD utilisés pour l'installation système ne permettent pas toujours de redémarrer les serveurs ou d'accéder au volume de stockage : Ajout de contrôleurs additionnels Suites à des mises à jour systèmes, firmware... Il est important d'avoir à disposition une boite à outil testée permettant de s'affranchir de ce type de problèmes Cela fait partie de la gestion de sinistre (crash disque, panne serveur, piratage...) Cela constitue un «plan de reprise après sinistre» But recherché : Reprise après incident (la plus courte et la plus sereine possible) 16