Polux Développement d`une maquette pour implémenter des tests

Transcription

Polux
Développement d'une maquette pour implémenter
des tests de sécurité
équipes SERES et SSIR
28 septembre 2007
Julien Thomas, Pierre Martin
Polux, maquette pour des tests de sécurité
2 / 55
Plan
Première partie I
Aspects fonctionnels
3 / 55
Plan
1
Présentation des aspects fonctionnels
2
Les serveurs
4 / 55
1
2
Plan
Répartition des services
Machines virtuelles
Les serveurs
5 / 55
Administration des services
Sur plusieurs serveurs
Quatre serveurs (machines)
Suivant les fonctionnalité
Webmail
IMAP
POP3 - SMTP
Administration
6 / 55
7 / 55
Machines virtuelles
Machines virtuelles
Modélisent les diérents serveurs
Logiciel utilisé : Vmware
Simple d'utilisation
Très utilisé
Disponible sur de nombreux environnements
Version serveur : gratuite
8 / 55
Machines virtuelles
Environnement
Gentoo
distribution LINUX
Bien connue de l'un des étudiants
Support de SELinux
Module (LKM/LSM) SELinux
Renforcement de la sécurité
9 / 55
Machines virtuelles
10 / 55
1
2
Plan
Les serveurs
Machine virtuelle 4
Machine virtuelle 3
Machine virtuelle 2
Machine virtuelle 1
11 / 55
Machine virtuelle 4
Centralise les services de collaboration
Annuaire LDAP
Centralise les données et les structures utilisées par les services
Gère les comptes des utilisateurs mails
Gère les comptes des serveurs
Logiciel utilisé : OpenLDAP
Très utilisé
Gratuit
Plateforme : performances, pas un critère clé
12 / 55
Machine virtuelle 4
Serveur NFS
Regroupe les données des utilisateurs
mails, répertoires personnelles des comptes serveurs
Accessible par tous les autres serveurs
Montage NFS
Les données sont partagées par tous
13 / 55
Machine virtuelle 4
Serveur DHCP
Conguration automatique des serveurs
logiciel : dhcpd (ISC)
Serveur DNS
Collaboration entre les serveurs
Accès au web pour les serveurs
Accès aux serveurs (webmail, pop et imap) pour les utilisateurs
logiciel : BIND
14 / 55
Machine virtuelle 4
15 / 55
Machine virtuelle 3
Serveurs POP et SMTP
POP3
secours en cas de problème d'IMAP
Autre méthode d'accès aux mails
Logiciel utilisé
Courrier-imap
Raisons : voir le serveur IMAP
16 / 55
Machine virtuelle 3
Serveurs POP et SMTP
SMTP (Simple Mail Transfert Protocol)
Envoi de mails (ex : webmail)
Réception et stockage des mails des utilisateurs
Logiciel utilisé : Postx
Simple à congurer
Congurable avec LDAP
17 / 55
Machine virtuelle 3
18 / 55
Machine virtuelle 2
Serveur IMAP
Accès au mail classique
Utilisation par le webmail
Logiciel utilisé : Courrier-imap
Simple à congurer
Fichiers de conguration standards, contrairement à Cyrus
Accès rapide via webmail
pas de problème de certicats TLS
19 / 55
Machine virtuelle 2
Machine virtuelle 1
20 / 55
Webmail
Accès aux mails via une interface web
Envoi de mails
Logiciel utilisé : Horde
Couramment utilisé
Conguration simple (nouvelles versions)
Interfaçage avec IMAP
Interfaçage avec LDAP
Même si fonctionnement partiel
Nombreux modules possibles
Plus de failles possibles
21 / 55
Machine virtuelle 1
22 / 55
Plan
Deuxième partie II
Aspects sécurité
23 / 55
Plan
3
Analyse de la sécurité des services
4
Sécurisation logicielle
5
Sécurisation formelle : SELinux
6
Sécurisation externe (DMZ) : routeur
24 / 55
Plan
3
4
5
6
Analyse des besoins en terme de sécurité
25 / 55
Buts
Analyser les besoins
Justier les techniques mises en place (extension S)
Approche : SDC Microsoft - (analyse par points xes)
Identication des points d'entrées
conance dans les données en entrées
conance dans les points d'entrées
authentication des entrées
Identication des points de sorties
identication des accès autorisés
existence entrées -> sorties ? => contrôle
authentication des sorties
Fuite d'informations
stockage, condentialité du transfert
26 / 55
3
4
Plan
Sécurisation : chirement
Sécurisation : séparation des pouvoirs
Sécurisation : restriction des accès
5
6
27 / 55
Certicats SSL
OpenSSL
CerticatRoot : polux.org
Non reconnu : à ajouter sur les serveurs et les clients
Schéma de certication :
28 / 55
LDAP : TLS, SSL
Authentication et surtout condentialité
webmail (apache) : HTTPS
SSL
Authentication du serveur pour les utilisateurs
IMAP/POP : SSL, TLS
SMTP : SSL, TLS, SASL
29 / 55
Certicats SSL : nouveaux points d'entrées
Pas d'accès en écriture
Accès en lecture ?
Dépend de la génération
certicats protégés (apache) : 444
certicats non protégés : 4{4|0}0
30 / 55
Sécurisation : séparation des pouvoirs
LDAP : accès restreints pour chaque service
Accès à des branches distinctes de l'annuaire
En lecture et/ou écriture
dn:cn=smtp,ou=ldap,ou=accounts,dc=polux,dc=org
dn:cn=sasl,ou=ldap,ou=accounts,dc=polux,dc=org
dn:cn=dhcp,ou=ldap,ou=accounts,dc=polux,dc=org
dn:cn=pam,ou=ldap,ou=accounts,dc=polux,dc=org
dn:cn=mail,ou=ldap,ou=accounts,dc=polux,dc=org
dn:cn=dns,ou=ldap,ou=accounts,dc=polux,dc=org
31 / 55
Sécurisation : restriction des accès
NFS : restrictions supplémentaires sur les exports
/etc/exports
# HOME directories
/home-nfs/accounts 10.133.14.11(rw,subtree_check,sync)
#
# mails
/home-nfs/mailbox 10.133.14.12(rw,subtree_check,sync)
/home-nfs/mailbox 10.133.14.13(rw,subtree_check,sync)
Fichiers de conguration : chmod 640
horde/congs/*
/etc/ldap.conf
32 / 55
Plan
3
4
5
6
Problèmes initiaux
Informations Générales
Module SASL
Module (Open)ldap
Module manquant : pam_ldap
33 / 55
Problèmes initiaux
Correction des erreurs génériques
cd /lib/modules/2.6.20-hardened-r5
chcon -u system_u *
chcon -t modules_dep_t modules.*
chcon -u system_u /etc/ld.so.cache
chcon -t ld_so_cache_t /etc/ld.so.cache
semanage fcontext -a -t ld_so_cache_t /etc/ld.so.cache
Correction d'erreurs spéciques
Udev : montage dynamique
Mysql : accès au chier urandom, bug #26776
Informations Générales
34 / 55
Attention particulière apportée à l'étude
Des accès aux objets externes par le module
Des accès aux chiers du module par le monde extérieur
Analyse
Sécurité et connement du projet
Par réduction des privilèges
en fonction des spécicités d'implémentation de la maquette
en se basant sur l'étude des besoins eectuée précédemment
Analyse de module de base : connement déjà bien dénie
Quelques modications : améliorer le connement
Plugin PAM, couplé avec LDAP : pas de politique de sécurité
Peu de documentation disponible au niveau de la spécication
Récupération manuelle (notamment la description des macros)
35 / 55
Module SASL
Module SASL
36 / 55
Analyses
Environnement du projet SASL
variables utilisées et signications
Variables personnalisables
Actions internes autorisées
Accès aux chiers du projet SASL
Accès aux chiers du système
Fichiers de conguration externes
Accès au réseau
Module SASL
37 / 55
Ajouts
Renforcement règles résaux possible
Dans notre cas, seules les connexions locales sont nécessaires.
gen_tunable(allow_saslauthd_network_auth,true)
corenet_tcp_sendrecv_lo_if(saslauthd_t)
Fichiers de conguration externes
item /etc/conf.d/saslauthd et /etc/sasl2/*
renforcement : type saslauthd_cong_t
38 / 55
Module (Open)ldap
Module (Open)ldap
39 / 55
Analyses
Certains types ne sont pas utilisés
slapd_lock_t, slapd_replog_t et slapd_tmp_t
Mais règles associées sont logiques
Ajouts
Relations certicats ↔ slapd_cert_t
40 / 55
Processus utilisant pam_ldap
Connexion en local sur le serveur : login
Connexion distante : ssh
Rôles SELinux : newrole
Types SELinux
local_login_t
remote_login_t
sshd_t
newrole_t
Fichiers associés à pam_ldap : /etc/ldap.conf
Contient password de connexion au serveur !
Droits : root.root, chmod 640
Mais autre processus root y ont accès (label etc_t )
41 / 55
42 / 55
Fichier pam_ldap.te
module pam_ldap 1.0;
require {
...
}
attribute pam_ldap_t; type pam_ldap_etc_t;
typeattribute local_login_t pam_ldap_t;
typeattribute sshd_t pam_ldap_t;
typeattribute newrole_t pam_ldap_t;
allow pam_ldap_t pam_ldap_etc_t:file {read getattr};
allow pam_ldap_t etc_t:dir { getattr search read lock ioctl };
...
Tests
runcon -u system_u -r system_r -t slapd_t less /etc/ldap.conf
Aug 28 16:13:27 mv4 audit(1188310407.406:244): avc: denied
{ getattr } for pid=10153 comm="lesspipe.sh" name="ldap.conf" ...
43 / 55
Plan
3
4
5
6
SNORT
Firewall
44 / 55
Diérentes utilisations
Diérentes utilisations
Snier
Enregistreur de paquets C
IDS
IPS
Solution Mise en place : IPS
Plusieurs possiblités
scripts perl (NetSQUID, Guardian), plugin SNORT
(SnortSAM), SNORT-inline
SNORT-inline : SNORT + iptables
Développements supporté par l'équipe de SNORT
Trois nouveaux types de règles SNORT : drop, reject et sdrop
Paquets de la table QUEUE d'iptables (plus libpcap)
45 / 55
Implémentation dans la maquette
Communications SSL
Donner la capacité à SNORT de déchirer les ux SSL
logiciel tiers (plugin) déchirant SSL
Fournir les clés privés à un logiciel
données critiques
SSLdump : gratuit, problèmes de stabilité, failles de sécurité,
communication en clair entre SSLdump et SNORT
Plugin SNORT (par Breach) : payant
Plugin SNORT SnortSSL : opensource, mais pour windows
(pour le moment)
Protection du rewall
46 / 55
Implémentation dans la maquette
47 / 55
Routage : accès aux et pour les machines
virtuelles
Réseau local :
Translation d'adresses nécessaire
Translation de ports, éventuellement
Table de iptables : NAT.
Seul le premier paquet de chaque connexion passe à travers
cette table
PREROUTING : paquets arrivant de l'extérieur
iptables -t nat -A PREROUTING -d 192.168.57.150 -p tcp
--destination-port 9854 -j DNAT --to-destination 10.133.14.1:22
POSTROUTING : paquets après décision de routage
iptables -t nat -A POSTROUTING --destination ! 192.168.57.153
1 -s 10.133.14.0/24 -j SNAT --to-source 192.168.57.150
48 / 55
Contrôle des accès
Table de iptables : lter
Connexion real-virtual : rejetée par défaut (politique fermée)
iptables -A selectRule -i $PUBLIC -o $PRIVATE -j real-virtual
PRIVATE="vmnet1"
PUBLIC="eth0"
iptables -A real-virtual -j DROP
Exemple : connexion au réseau local, serveur apache
iptables -A real-virtual -d 10.133.14.11 -p tcp
--destination-port http -j ACCEPT
iptables -A real-virtual -d 10.133.14.11 -p tcp
--destination-port 443 -j ACCEPT
49 / 55
Contrôle des accès
50 / 55
Plan
Troisième partie III
Bilan
51 / 55
Plan
52 / 55
Partie fonctionnelle
Développement des diérentes services
Quatres machines virtuelles
Neuf serveurs logiciels, pour chaque service
SELinux over Gentoo
Émulation : vmware
Documentation complète
Tests lors du redéploiement (n juillet) à l'ENST Bretagne
Tests ensuite lors du redéploiement (début septembre) à
Supelec
53 / 55
Partie sécurité
Analyse des besoins
Approche point d'entrées / de sorties, ux d'informations
Chirement, séparation des pouvoirs
Sécurisation formelle
Étude des modules SELinux existants
SASL et OpenLDAP
Développement d'un module pour pam ldap
Sécurisation externe
SNORT
IPS sur le rewall
pas d'analyse des communications SSL
Firewall
politique fermée, translation d'adresses
54 / 55
Rapports
Quatre rapports complets
Rapport fonctionnel (∼ 70 pages)
Rapport sécurité (∼ 120 pages)
Rapport sur les modules SELinux étudiés (informations
annexes, description des macros)
Rapport sur la migration entre Gentoo (SSIR) et Ubuntu
(SERES)
55 / 55
Éléments restants
DNSSEC : limites de BIND + LDAP
DHCP : Support SSL seulement en RFC
NFS : sécurité : NFS over SSH
mais impose contrôle SSH
Problèmes sur sdb-ldap : connexion ssl
Modules SELinux
Analyse des autres modules

Polux Développement d`une maquette pour implémenter des tests

Transcription

Documents pareils

Mentions légales - Orchestre Jean

concours général des métiers - Crcm-tl

Maquette pour l`opération de construction de 37

Maquette d`une usine de filtration au 1/43 e pour Pall

Thème : L`Age de glace

Olivier Julien

T1/2 Cours Julien (13005)

Maquette 3eme - Collège Gaston Crochet