Tableau de bord de la sécurité informatique - Indico LAL

Transcription

Introduction, bilan 2005
Journées Informatiques
Valpré septembre 2006
Bilan Sécurité 2005
1
Journées Informatiques Valpré septembre 2006
Le thème Sécurité
aux Journées Informatiques
• http://ji.in2p3.fr
2
Bilan de l’année 2005
•
•
•
•
•
•
Groupe sécurité IN2P3
Infrastructure des réseaux des laboratoires
Filtrage en entrée
Surveillance réseau et détection d’intrusion
Evolution de la menace et incidents
Conclusion
3
Le groupe sécurité
•
•
•
•
70 personnes
Existence antérieure à 10 ans
Liste [email protected]
Quelques participations, contributions
SIARS
4
Participation aux JS
5
2005Authentification
2005-GANILTRACES
2004-CC-DST
2003-CC-VLAN
2002-CDF-CERT
50
40
30
20
10
0
2002-CENBGcertificats
Réunions et f ormations sécurité - Nombre de participants
Répartition par laboratoire
30
2005-Authentification
2005-GANIL-TRACES
25
2004-CC-DST
2003-CC-VLAN
2002-CDF-CERT
20
2002-CENBGcertificats
15
10
5
AP
LP
C
Ca
en
L
C LR
Su C D
ba F
t
L P L ech
C PN
L A Cl e H E
IR PP rm
E S A on
S t nne t
ra c
s y
IP bou
N rg
LP O
TA rsa
C
-G y
EN
A
BG CS M
N
C
PP B o S M
rd
LP M M ea
SC a r u x
s
G eil
re le
no
bl
e
L
IP A
N L
Ly
G on
AN
C
Ci IL
n2
p
Ad 3
m
in
0
6
C
Ce E N A P
nt B G C P
re
-d - Bo ari
erd s
C
CP a l e a
P M cul ux
-L
CS -M a yo n
NS rs e
M ill
G -O e
AN rs
I L ay
-C
I P ae
N n
I R IP -Ly
E S N - on
- S Or
t ra s a
y
s
L A bo
L ur
L
LL A P - O g
R- P- rsa
P o An y
ly
n
LP
te ec
ch y
Cn
Cl
L
er
P C iq u
LP m
- e
N H o n Ca
t
E- - Fe e n
P r
LP a ri r an
S s- d
LP C- VI TA Gr V II
e
S u -M no
o
b a n bl e
t e t pe
c h ll
-N ier
an
te
s
Infrastructure des réseaux de
laboratoire 1/6
• Renater
1000
2004
2005
100
10
1
7
C
Ce E N A P
nt B G C re
P
-d - Bo ar
erd is
C
CP al ea
P M cul ux
-L
CS -M a yo
NS rs e n
M ill
G -O e
AN rs
I L ay
-C
I P ae
N n
I R I P -Ly
E S N on
- S -Or
t ra s a
y
s
L A bo u
LL LA P L- O rg
R- P rsa
Po -A
y
l y n ne
LP
te
ch cy
Cn
Cl
er LP iq u
C e
LP m
NH o n - Ca
E- t- Fe e n
P r
LP a ri r an
S s- d
LP C- VI TA Gr V I I
S u -M eno
ba on ble
t e t pe
c h ll
-N ier
an
te
s
laboratoire 2/6
• Câblage
Cablage 2005
3000
2500
2000
Cat6
1500
1000
Cat5
Cat3
500
0
8
C
Ce E N A P
nt B G C re
P
-d - Bo ar
erd is
C
CP a e a
P M lcul ux
CS -M Lyo
NS ars n
M eil l e
G -O
AN rs
I L ay
-C
I P ae
N n
I R I P -Ly
E S N on
- S -Or
t ra s a
y
s
LA bo
u
LL LA P L- O rg
R- P rs
Po -A a y
ly n n
LP
te ec
ch y
Cni
Cl
L
q
e
P
LP rm
C- ue
NH o n Ca
E- t- Fe e n
P
LP a r rr an
S is
d
LP C- - VI TA Gr V I
S u -M eno I
b a on ble
t e t pe
c h ll
-N ier
an
te
s
laboratoire 3/6
• Eléments actifs
Actifs 2005
2500
2000
C1000
1500
C100
1000
C10
500
HUB
0
9
C
Ce E N A P
nt B G C re
P
-d - Bo ari
erd s
C
CP a ea
P M lcul ux
-L
CS -M a yo
NS rs e n
M il l e
G -O
AN rs
I L ay
-C
I P ae
N n
I R I P -Ly
E S N on
- S -Or
t ra s a
y
s
LA bo
L
L u
L L A P - O rg
R- P- rsa
P o An y
ly
n
LP
te ec
c
Chn y
Cl
er LP i q u
C- e
LP m
o
NH n C a
t
E- - Fe e n
P r
LP a r r an
S C is- V d
LP
I
TA -Gr -V I
S u -M eno I
ba on bl e
t e t pe
c h ll
-N i e r
an
te
s
laboratoire 4/6
• Wi-Fi
Nb-Wi-Fi
30
25
20
15
2004
10
5
2005
0
10
C
Ce E N A P
nt B G C re
P
-d - Bo ari
erd s
CP C a ea
P M lcul ux
-L
CS -M a yo
NS rs e n
M ill
G -O e
AN rs
I L ay
-C
I P ae
N n
I R I P -Ly
E S N on
- S -Or
t ra s a
y
s
LA bo
L
L u
LL A P - O rg
R- P- rsa
P o An y
ly
n
LP
te ec
ch y
Cn
Cl
er LP i q u
C
LP m
- e
NH o n Ca
t
E- - Fe e n
P r
LP a r r an
d
S is
S u -M eno I
ba on bl e
t e t pe
c h ll
-N ier
an
te
s
laboratoire 5/6
• Cloisonnement
Nb_VLAN
30
25
20
15
10
2004
2005
5
0
11
Contrôle de l’accès au réseau
•
Filaire :
– 11 laboratoires ne contrôlent pas l’accès au réseau filaire.
– 6 laboratoires effectuent un contrôle tel que :
• Activation des prises à la demande
• Verrouillage des adresses MAC (Subatech).
• VMPS (CC-IN2P3, CENBG, LPSC, IPNL).
•
Wi-Fi :
– 9 laboratoires sur 10 effectuent un contrôle d’accès pour le Wi-Fi, le
10ème a placé le Wi-Fi dans une zone à part.
– Ce contrôle d’accès met en œuvre une ou plusieurs des techniques
suivantes :
•
•
•
•
la non diffusion du SSID,
le chiffrement WEP
le contrôle des adresses MAC
WPA
12
C
Ce E N A P
nt B G C re
P
-d - Bo ari
erd s
CP C a ea
P M lcul ux
-L
CS -M a yo
NS rs e n
M ill
G -O e
AN rs
I L ay
-C
I P ae
N n
I R I P -Ly
E S N on
- S -Or
t ra s a
y
s
LA bo
L
L u
LL A P - O rg
R- P- rsa
P o An y
ly
n
LP
te ec
ch y
Cn
Cl
er LP iq u
C- e
LP m
NH o n Ca
t
E- - Fe e n
P r
LP a r r an
d
S is
S u -M eno I
ba on ble
t e t pe
c h ll
-N ier
an
te
s
laboratoire 6/6
• VPN
Nb_VPN
2,5
2
1,5
2004
1
2005
0,5
0
13
Filtrage en entrée 1/2
• Exposition des laboratoires et efficacité des
actions en terme de filtrage.
• Nombre total de service (TCP) ouverts vers
l’extérieur est de 998.
• Extrait des ACL des routeurs de laboratoire
• Fermeture des services non chiffrés (en
rouge dans le tableau).
• Tableau du filtrage en entrée de site
14
Filtrage en entrée 2/2
• Evolutions depuis 2005
– POP et IMAP fermés depuis l’extérieur (au profit de
POPS et IMAPS)
• 2 en 2005
• 9 en 2006.
– Il ne reste plus qu’un TELNET ouvert au lieu de 22
dans 6 sites en 2005.
– Il n’y a plus de SHELL ouvert.
– Il subsiste un nombre important de serveurs FTP, il
faudrait vérifier que la plupart ne sont accessibles qu’en
lecture seule et en mode anonymous.
15
Surveillance réseau et détection
d’intrusion
• Extra est déployé dans tous les laboratoires.
• Scripts déclenchés automatiquement pour la surveillance
– Virus test les connexions sortantes sur les ports Windows, envoie
des mails d’alerte
• Virusday 060612
– IP
– 134.158.40.1 445
Port
16295
NbHits
– Extrastat comptabilise les scans (une machine externe echange des
paquets avec N machines/ports internes), resultats stockés dans
une bdd, pour l’instant non exploité.
• Détection des attaques « brute force » SSH, pot de miel
pour capturer les mots de passe, alerte en cas d’attaque
venant de l’IN2P3. (voir présentation de Jean-Michel).
16
Menace et incidents
• Passerelle antivirus du Centre de Calcul
2003
2500000
V irus
2004
2500000
Rejetés
2000000
Délivrés
2000000
2005
2500000
V irus
V irus
Rejet és
Rejetés
2000000
Délivrés
1000000
1000000
1000000
500000
500000
500000
0
0
0
17
ja
n
ja
n
ju
in
-
vfé 0 5
vr
m - 05
ar
sav 05
r- 0
m 5
ai
-0
ju 5
in
-0
ju 5
ilao 05
ût
s e 05
pt
-0
oc 5
t-0
no 5
v0
dé 5
c05
1500000
vfé 0 4
vr
m - 04
ar
s0
av 4
r- 0
m 4
ai
-0
ju 4
in
-0
ju 4
ilao 04
ût
s e 04
pt
-0
oc 4
t-0
no 4
v0
dé 4
c04
1500000
03
ju
il0
ao 3
ût
-0
se 3
pt
-0
3
oc
t-0
no 3
v0
dé 3
c03
1500000
Délivrés
Menace et incidents
• Virus reportés malgré l’antivirus (mail CERT-Renater,
mail reçu à [email protected], détection par extra).
18
2005
2005 mail à abuse@ EXTRA
ou aut r e
2005 Signalés par le CERTRenat er
nv
i
F é er
vr
ie
M r
ar
s
Av
r il
M
ai
Ju
in
Ju
il le
S e Ao t
pt ût
em
O br e
c
N to b
ov r e
e
D mb
éc r e
em
br
e
Ja
2004 Si gnal és par l e CERTRenater
20
18
16
14
12
10
8
6
4
2
0
Ja
2003 Si gnal és par l e CERTRenater
2004 mai l à abuse@ ou autr e
nv
F é i er
vr
ie
M r
ar
s
Av
r il
M
ai
Ju
i
Ju n
il le
Se A t
p t oû
em t
O br
c e
N tob
ov r e
D em
éc br
em e
br
e
2003 mai l à abuse@ ou autr e
2004
20
18
16
14
12
10
8
6
4
2
0
Ja
2003
nv
i
F é er
vr
ie
M r
ar
s
Av
r il
M
ai
Ju
i
Ju n
il le
Se A t
p t oû
em t
O br e
c
N tob
ov r e
e
D mb
éc r e
em
br
e
20
18
16
14
12
10
8
6
4
2
0
Menaces et incidents
Intensification des attaques SSH
• Voir présentation de Jean-Michel Barbet
• Peu de retour sur les protestations à
abuse@
25
Nb mail envoyés
Nb réponses
20
15
10
5
c05
dé
v05
5
no
t-0
oc
pt
-0
5
5
se
ût
-0
05
19
ao
il-
ju
in
-0
5
-0
5
ju
5
ai
m
r-0
05
av
5
ar
s-
vr
-0
m
fé
ja
nv
-0
5
0
• Compromission de machines
– - xyzt268 : compromission découverte suite à l’implication de la
machine dans un DDOS. Utilisation de AWStats.pl
2005/VULN095 CERT-Renater. Compromission du compte
apache, pas de passage root,
– - 134.158.xyz.219 et 134.158.xyz.70 compromises suite à une
perte d’ACL due à un bug dans IOS Cisco 12.2.25SEB en cas
d’activation des sondes RMON. Compromission du compte root,
sniffer et backdoor sur la machine 219.
– - xyz.in2p3.fr, xyz01, xyz02, xyz03 compromission d’un compte
utilisateur, robot IRC et keyboard logger, pas de passage root.
– - xyzs1, xyzs9, xyzs8 rootkit suckit, compromission du compte
root, nombreux mots de passe sniffés.
20
•
rootkit Suckit
– installé à partir d'une faille dans la
routine p_trace.
Ce rootkit peut être détecté avec une simple commande ls
ls -li /sbin/telinit /sbin/init
1599495 -rwxr-xr-x 1 root root
1599503 lrwxrwxrwx 1 root root
/sbin/telinit -> init
27036 Feb 10 2003 /sbin/init
4 Apr 29 2004
Si les deux inodes sont différents la machine n'est pas infectée.
Si les deux inodes sont identiques la machine est infectée ce qui peut
être confirmé par un cat /proc/1/maps qui fait apparaître un autre
processus à la place de /sbin/init (genre /sbin/initxyz)
21
Conclusion
•
•
•
•
Filtrage
Cloisonnement 14/18
Extra
Authentification
22

Tableau de bord de la sécurité informatique - Indico LAL

Transcription

Documents pareils

cours de crochet technique c2c

Valpré Lyon

Plan d`accès

La performance… à quel prix ?

Règlement Paypal or Paypal : www.30ansnafranceunité.org

110 chambres d`hôtel 1 chemin de Chalin - BP 165

le trombinoscope des intervenants

Colloque Inter-Irem 1er Cycle

Soumission à l`autorité

Document de préparation au