Pourquoi l'idée saugrenue de construire un réseau de quarantaine nous est-elle venue et comment l

Irro - Richard Timsit , Mise En Page: Appoline

Le téléchargement nécessite un accès à la bibliothèque YouScribe
Tout savoir sur nos offres

2 pages

Français

Le téléchargement nécessite un accès à la bibliothèque YouScribe
Tout savoir sur nos offres

A propos
Informations
Extrait

Description

Pourquoi l’idée saugrenue de construire un réseau de quarantaine nous est-elle venue et comment l’avons nous réalisée ?Richard.Timsit@epfl.ch, Domaine ITla fin du mois de juillet 2003 nous nous sommes Les réseaux de campus ou d’entreprise sont aujourd’hui trouvés dans une situation bien embarrassante. entièrement construits à l’aide de réseaux virtuels (Vlan) A Des centaines de machines porteuses du ver de la si bien que fabriquer le réseau de quarantaine en faisant famille Lovsan (http://vil.nai.com/vil/content/v_100552.htm) basculer les machines à isoler dans un tel Vlan s’est imposé manifestaient une activité sur le réseau qu’il était impossible naturellement comme le principe de la solution. En effet une de tolérer. Cependant, aucune des mesures que nous pou- machine est reliée à un port d’un équipement actif du réseau vions prendre n’était satisfaisante. (un switch) et chaque port de cet équipement est associé à un ❚ Couper la machine du réseau, privait son administrateur Vlan. Ce dernier est choisi en fonction de l’unité à laquelle de tous les moyens mis à disposition pour la réparer (nous appartient la machine. En général toutes les machines d’une ne fournissions pas de CD car la version d’antivirus chan- unité appartiennent à un même Vlan qui recouvre en fait geait de jour en jour). un subnet. Changer brutalement le Vlan du port sur lequel ❚ Interdire seulement l’accès à Internet pour permettre la est raccordé une machine va bouleverser sa ...

Sujets

informatique

réseau

réseaux

Informations

Publié par	Irro
Nombre de lectures	56
Langue	Français

Extrait

Pourquoi l’idée saugrenue de construire un réseau de quarantaine nous est-elle venue et comment l’avons nous réalisée ?

Richard.Timsit@epﬂ.ch, Domaine IT

laﬁndumoisdejuillet2003nousnoussommes famALelilovsan( http://vil.nai.com/vil/content/v_100552.htm) trouvésdansunesituationbienembarrassante. Descentainesdemachinesporteusesduverdela manifestaientuneactivitésurleréseauqu’ilétaitimpossible detolérer.Cependant,aucunedesmesuresquenouspou-vionsprendren’étaitsatisfaisante. ❚Coalerupenihcamaesérudu,privaitsonamdnisirttauer detouslesmoyensmisàdispositionpourlaréparer(nous nefournissionspasdeCDcarlaversiond’antiviruschan-geaitdejourenjour). ❚arelruoptenttemrepèscc’alerntIàtnIleeuntmediersre réparationsurIntranet–solutionadoptée–présentait l’inconvénientdelaisserlamachinepolluerl’Intranet. C’estdanslesoucidetrouverunealternativeàcesdeux solutionsdécevantesquel’idéed’unréseaudequarantaine agerméetquenousl’avonsréalisée.

Principe de la solution

Nousbasculonsdansceréseautoutemachinenécessitant d’êtreisoléed’EPNET(IntranetEPFL)et/oud’Internetet nousnousdonnonsdumêmecouplesmoyens: ❚d’avertir,acmnehiu’ltesalitilaedur ❚idasopserttsàdmeedesoutilsitionlediagnostic edet réparation ❚osenurirffo’dedquerationplutirétablissement sur EPNET

Protrait robot de la solution

Lesréseauxdecampusoud’entreprisesontaujourd’hui entièrementconstruitsàl’aidederéseauxvirtuels(Vlan) sibienquefabriquerleréseaudequarantaineenfaisant basculerlesmachinesàisolerdansuntelVlans’estimposé naturellementcommeleprincipedelasolution.Eneffetune machineestreliéeàunportd’unéquipementactifduréseau (unswitch)etchaqueportdecetéquipementestassociéàun Vlan.Cedernierestchoisienfonctiondel’unitéàlaquelle appartientlamachine.Engénéraltouteslesmachinesd’une unitéappartiennentàunmêmeVlanquirecouvreenfait unsubnet.ChangerbrutalementleVlanduportsurlequel estraccordéunemachinevabouleversersaparticipationau réseau. Veillerànepasbloquerlamachineetcontinuerdelui donnerlesservicesessentielsàsasurvieenréseaupourper-mettresaréparation,telestlepointessentielducahierdes chargesdeceprojetdequarantaine. Leportsurlequellamachineestraccordéeestdoncbas-culédansunVlanpréparépouraccueillirlanouvellevenue. Cettepréparationconsisteàoffrirtouslesservicesessentiels pourqu’unemachinecorrectementconﬁguréesurEPNET continueàfonctionner.Unrouteurpardéfautenfonction desonVlan(enfaitsonsubnet)d’origineestmisàsadispo-sition.Ellebénéﬁcieaussid’unservicederésolutiondenoms IP(DNS)etd’undistributeurd’adressesIP(DHCP)aucas oùelleenseraittributaire.Ceciaﬁnquel’utilisateurdel’or-dinateurn’aitpasl’impressionqu’ilsesoitplanté(impression d’autantpluslégitimerappelonslequecetordinateurade bonnesraisonsdedysfonctionner).Dèscemomentlà,onva tenterd’avertiretd’informer,enenvoyantunpopupquand c’estpossible(machinesousWindows)et/ouenimposant unepagehtmld’alertepourtouteURLréclamée... C’estalorsquel’utilisateurpeutsuivrelesliensproposés etaccéderauxressourcesquivontluipermettrederéparer samachineetderevenirblanchisurEPNET. SeulesdesliaisonsHTTPetHTTPSsontpossibleset aveccertainssitesuniquement. ❚Winsec.epﬂ.chrou(pnscoslesedgienratarpéetliones patchsWindows) ❚linuxline.epﬂ.chi(ed)uxinLurpom ❚sunline.epﬂ.chi()Solarisdempour ❚download.microsoft.com ❚windowsupdate.com ❚vil.nai.comusirvetdstiafésrevseonsmatiesmurlfnroi( encause) D’autresliensserontajoutésenfonctiondesbesoins.Tout estfaitàl’heureoùcetarticleestrédigépourqu’unemachine atteinted’unverdelafamilleBlasteroudelafamilleSdbot puisseêtrenettoyée,patchéeetabonnéeàunemiseàjour

FI 10 – 16 décembre 2003 – page 3

Pourquoi l’idée saugrenue de construire un réseau de quarantaine nous est-elle venue et comment l’avons nous réalisée ?

automatiquedesonantivirus(EPO,cfhttp://dit.epﬂ.ch/SA/ publications/FI03/ﬁ-6-3/6-3-page1.html). Enﬁn,desformulairespourréclameraideetremiseen servicesurEPNETsontmisàdisposition.

Détails d’implémentation

LedispositifmettantenliaisonleVlandequarantaine avecleréseauEPNETpeutêtreconstruitd’unemultitudede façons.Laversionprésentéedonnesatisfactionaumoment oùcetarticleestécrit,maisellen’aétémiseàl’épreuvequ’avec quelquesdizainesdemachinesmisesenquarantaineetdevra certainementêtreamélioréepourfairefaceauxoffensives attenduessurunparcdemachinesvulnérablesaussivaste quelenôtre;-). DeuxmachinesLinuxmunieschacunede2interfaces réseauetreliéesentreellesparuncâblecroisésepartagent ladélicateactivitéd’assurerdevraisfauxservicesetdene laisserpasserquecequ’ilfaut. Lesmachinesentrantenquarantainegardantleur conﬁgurationréseauvontrecourir(commeonl’amentionné plushaut)àunrouteurpardéfautpourtoutecommunica-tionaveclesmachinesétrangèresàleursous-réseau.Elles perdrontdonctoutcontactaveclesmachinesdeleurunitéà moinsquecelles-cisoientaussitombéesendisgrâce.Offrirce routeurpardéfautestunpremierdevoiretenmêmetemps unepremièrechancecarcelarendpossibleleconﬁnement dutraﬁc. Leserveurdenomsestunservicefacileàoffrirgrâceà lacoopérationentreunserveur-cachestandardsurleréseau EPNETetceluiquirépondraauxrequêtesdemachinesen quarantaine.LeserviceDHCPestd’autantplusfacileàoffrir quelecoupleadresseIPetadressephysiquedescandidatsà laréparationestconnuaumomentdelasortied’EPNET. LamachinegarderacetteadresseIPpendanttoutletemps qu’elleseraenquarantaine,unreboot ancue’riomspdoas momentdesonretouraunet. Resteàacheminerlesrequêteshttpauxserveursquidoi-ventêtreaccédésetàforcerunepagederetourpourtoutesles autres.CetravailestconﬁéàuntandemSquid/Jesredmais denombreuxmodulesdeproxy-redirectiond’URLpouvant travaillerenmodetransparentpeuventêtrechoisis. Enﬁn,voulantoffrirlapossibilitéauxmalheureuses victimesdesvirusetdesfaiblessesdelamarchandised’un certainconstructeurd’avoirrecoursàwindowsupdate, ilnous afalluaussiperméabiliserl’HTTPS.Ceciestfaitsimplement enréalisantunetranslationd’adressepourceprotocoleà traversnosdeuxmachinesd’interface.Laréalisationduproxy transparentréclamantlesecoursd’IptablessousLinux-pour substituerleportdedestination80parceluiquel’onachoisi pourleproxy,onenproﬁterapourrajouterleslignesqu’il fautdanslatabledetranslationpourquelesadressessource desrequêtesHTTPSsoienttranslatéessurchaquemachine avecl’adressedesoninterfacepropre.Surlamachined’in-terfaceavecleréseaudequarantaineondonnel’adressedu réseauprivéetsurl’autremachine,l’adressedesoninterface surEPNET.

FI 10 – 16 décembre 2003 – page 4

Schéma plus détaillé

Bilan provisoire Lesmachinesatteintesd’unvirusquidéclenchentune activitéréseausufﬁsammentanormalepourimposerleur coupurenousdonnentsouventunmoyenaisédelesdétec-terpourlesbasculerautomatiquement.C’estlecasdesvers delafamilleBlaster.Unecascaded’automatesintervient surleséquipementsetpréparel’accueildelamachineen quarantaine.Lesmessagesenvoyéssurcettemachinesont spéciﬁquesàsonproblème.Sasortiedequarantainesefait automatiquementpourautantquelesvulnérabilitésaient étécolmatées. Parfoisladétectionestplusdélicate,ladécisiondubascu-lageestmanuelle,maisleresteduprocessusnechangepas. Disposerd’unteloutils’avèreprécieux.Soustraireduré-seautoutenpermettantlaréparation…àl’aideduréseau,est unbiengrandservicerendu.Malheureusementnoussommes aussihonteuxd’avoirrecoursàuntelserviceàunesigrande échellesurnotrecampus.Celasigniﬁequenotreparcdema-chinesestmalgéré.Ilvautmieuxprévenirqueguérir,onne ledirajamaisassezenmatièred’informatiquecarlesvirusde demainneressemblerontpeut-êtrepasàceuxd’aujourd’hui etrisquentdetransformernotreréseaudequarantaineenun immenseetdésolantcimetière.■