Formation A2IMP Principes de base en...
-
Upload
phamnguyet -
Category
Documents
-
view
220 -
download
0
Transcript of Formation A2IMP Principes de base en...
Formation A2IMP
Principes de base en administration
La Grande Motte – 12 et 13/09/2006
Denis PUGNÈRE – IPNL / IN2P3 - <[email protected]>
Form at ion A2IMP – Rap p els en ad m in is t rat ion 2
Som m aire
• Synchronisation des systèmes
• Centralisation des traces
• Organisation des espaces de sauvegarde
Form at ion A2IMP – Rap p els en ad m in is t rat ion 3
Syn ch ron isa tion
• Les horloges internes des machines (serveurs, PC...) ne sont pas fiables => dérive dans le temps
• Il existe des références précises :– Radio : émetteurs de France Inter à Allouis, norme DCF77
à Mainflingen), – GPS– Accessibles via le réseau : Protocole ntp (RFC 1305)
• 1 milliseconde < Précision < quelques 10èmes de millisecondes
• Liste : http://www.cru.fr/NTP/serveurs_francais.html
• Accessibles librement ou soumis à déclaration ou autorisation d'utilisation
Form at ion A2IMP – Rap p els en ad m in is t rat ion 4
Qu oi et com m en t syn ch ron iser ?
• Tout, par ordre de priorité :– Serveurs et matériels réseau– Postes clients
• Exemple : utiliser le protocole NTP diffusé sur le réseau :– Serveurs références, hiérarchisés (strates)– Paquets de type UDP, port distant n° 123– Peut être re-diffusé sur le réseau local par un serveur NTP
local
Form at ion A2IMP – Rap p els en ad m in is t rat ion 5
Syn ch ron isa tion d 'u n rou teu r
• Certains routeurs peuvent être à la fois client NTP et serveur
• Ils peuvent diffuser en broadcast local les annonces NTP
• Exemple CISCO :
interface Vlan1description vlan laboip address 192.168.0.1 255.255.255.0
! diffusion en broadcast ntpntp broadcast destination 192.168.0.255
!! notre serveur ntp de reference est krishna.via.ecp.frntp server 138.195.130.71
Form at ion A2IMP – Rap p els en ad m in is t rat ion 6
Syn ch ron isa tion Un ix
• Le package ntp contient un fichier ntp.conf et un fichier ntp.drift
• Exemple du fichier /etc/ntp.conf:
• Puis redémarrer le service ntp
driftfile /var/lib/ntp/ntp.drift
server 0.fr.pool.ntp.orgserver 1.fr.pool.ntp.orgserver 2.fr.pool.ntp.org
Form at ion A2IMP – Rap p els en ad m in is t rat ion 7
Syn ch ron isa tion Win dow s
• Nativement, sous Windows NT/2000/XP– Configuration : net time /setsntp:138.195.130.71
– Vérification : net time /querysntp– Démarrer le service horloge de Windows :
net start w32time
– Ou, dans le panneau services : choisir le service « Horloge windows » et démarrage automatique
http://www.microsoft.com/windows2000/techinfo/howitworks/security/wintimeserv.asp
• Application tierce : http://nettime.sourceforge.net/
Form at ion A2IMP – Rap p els en ad m in is t rat ion 8
Les logs
– Capturer et enregistrer les évènements significatifs– Souvent répartis :
• par système : windows (format propriétaire interne),
• Application/service : serveur web (apache, IIS, Active Directory, contrôle d'accès
– Hétérogènes : • En format (cisco IOS, cisco PIX, iptables, ipchains, pf, ipfilter...)
• Type : évènements mélangés : type ALERT, INFO
– Sur serveurs, postes clients
Form at ion A2IMP – Rap p els en ad m in is t rat ion 9
Les logs sou s MS- Win dow s
– 3 catégories : • Applications
• Système
• Sécurité
– Description des événements : http://www.microsoft.com/technet/support/ee/ee_advanced.aspx
http://www.eventid.net/search.asp
– Il est possible de les exporter vers un serveur SYSLOG
http://www.intersectalliance.com/projects/SnareWindows/index.html
http://www.kiwisyslog.com/info_sysloggen.htm
http://ntsyslog.sourceforge.net/
Form at ion A2IMP – Rap p els en ad m in is t rat ion 10
Les logs sou s Un ix
– Gestion des logs sous unix généralement confiée au package syslog
– Extrait d'un fichier de configuration : /etc/syslog.conf
– Certaines application enregistrent directement les logs dans le répertoire /var/log (exemple : apache, squid)
– La rotation des logs peut être assurée par un package (exemple : logrotate) ou géré directement par l'application
# Log anything (except mail) of level info or higher.# Don't log private authentication messages!*.info;kern.!=info;mail.none;authpriv.none;cron.none;kern.none /var/log/messages# The authpriv file has restricted access.authpriv.* /var/log/secure# Log all the mail messages in one place.mail.* -/var/log/maillog# iptables pour voir tous les paquets stoppes et loggueskern.=info /var/log/iptables
Form at ion A2IMP – Rap p els en ad m in is t rat ion 11
Cen tralisa tion des traces
– Technique qui consiste à ce que chaque élément actif d'un système d'information envoie ses journaux à un système dédié qui les réceptionne et les enregistre.
– Avantages recherchés : • Pérénité : en rapport avec la législation en vigueur
• Intégrité : localisation différente de la source
• Corrélation : facilité apportée par la centralisation
– Grâce à la centralisation des logs et aux post-traitements rendus possibles
Form at ion A2IMP – Rap p els en ad m in is t rat ion 12
Valeu r a jou tée
– IDS (Systèmes de détection d'intrusion) : • Réseau : Snort...
• Hybride (réseau et système) : prelude-ids...
• Systèmes : – Surveillance des fichiers journaux : logcheck, logwatch, swatch,
OSSEC...
– Contrôles d'intégrité des fichiers : tripwire, samhain, AIDE
– Détection de comportements douteux : portsentry, scanlogd, lids, systrace...
– Traitement de logs de pare-feux (detescan, anapirate, fwlogwatch...)
– Alertes, visualisation– Archivage
Form at ion A2IMP – Rap p els en ad m in is t rat ion 13
Exem ple cen tralisa tion : u n ix
• Iptables client :
• Unix client : ce client envoie tous les logs à la machine loghost.labo.fr. Extrait du fichier /etc/syslog.conf
...*.* @loghost.labo.fr...
# connexions deja etablies-A RH-Firewall-1-INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT# ssh-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT# http apache-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT# on loggue le reste-A RH-Firewall-1-INPUT -j LOG --log-level info-A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited
Form at ion A2IMP – Rap p els en ad m in is t rat ion 14
Exem ple cen tralisa tion : cisco
– Les routeurs et switchs implémentent un client syslog– Capacité à envoyer des logs sur plusieurs evennements :
• État des interfaces
• Connexions au routeur lui même (configuration)
• Violation de la politique de filtrage :
logging trap debugginglogging facility local5! envoie des logs sur loghost.labo.frlogging 192.168.1.20
!service de la passerelle (ssh) : on loggueaccess-list 101 permit tcp any host 192.168.1.200 eq 22 log!service du serveur web : on loggue pasaccess-list 101 permit tcp any host 192.168.1.100 eq 80! puis en entree : TOUT LE RESTE EST BLOQUEaccess-list 101 deny tcp any any logaccess-list 101 deny udp any any log
Form at ion A2IMP – Rap p els en ad m in is t rat ion 15
Syslog serveu r
• Serveur– Syslog :
• lancer le daemon avec l'option -r
• Ouvrir le filtre de paquets pour laisser passer le 514/UDP
– Syslog-ng[1] : évolution de syslog• Optimisé pour traiter un grand nombre de clients
• Possibilité de tri sur le contenu des messages
• Possibilité de rediriger les messages
• Protocoles 514/TCP et 514/UDP utilisés
• Possibilité de mise en cage
[1] : voir présentation de F.Bongat : syslog-ng de 02/2005
Form at ion A2IMP – Rap p els en ad m in is t rat ion 16
Plan de reprise su r in ciden t
– Il se peut que les CD utilisés pour l'installation système ne permettent pas toujours de redémarrer les serveurs ou d'accéder au volume de stockage :
• Ajout de contrôleurs additionnels
• Suites à des mises à jour systèmes, firmware...
– Il est important d'avoir à disposition une boite à outil testée permettant de s'affranchir de ce type de problèmes
– Cela fait partie de la gestion de sinistre (crash disque, panne serveur, piratage...)
– Cela constitue un « plan de reprise après sinistre »– But recherché :
Reprise après incident (la plus courte et la plus sereine possible)