Compte rendu de la commission technologies du CARI du lundi 29 mai 2000 L'ordre du jour était: - Discussion sur la mise en place d'outils de sécurité au niveau de l'accès au réseau du campus - Bilan sur la séparation des réseaux d'étudiants des réseaux des personnels Il y avait 36 participants: EC-Lille, IEMN, CUEEP, SEMM, BU, EUDIL, IUT, IAE, CRI et des laboratoires des différents secteurs du campus (physique, IEEA, chimie, math,...) 1) Discussion sur la mise en place d'outils de sécurité La réunion a débuté par 2 transparents provenant d'une réunion en mars des correspondants des réseaux régionaux avec RENATER. L'un des transparents montrait le taux de croissance exponentiel du nombre d'attaques ces 4 dernières années. Le 2ème transparent montrait le principe des attaques par rebond. Eric Cassette, correspondant sécurité de l'USTL auprès du MEN, a ensuite fait le point sur les dernières réunions. Le nombre et la complexité des piratages concernant des machines de l'Université ne cessent d'augmenter. On a déjà été soumis à trois types de piratages : - Intrusion sur un système, pour y faire tourner des services réseaux "anormaux", par exemple un analyseur de trames Ethernet (on peut voir passer en clair des noms de machines et des noms/mots de passe d'utilisateur accédant à des machines internes ou externes au Campus). - Mise en route de serveurs FTP "Warez", distribuant gratuitement des logiciels payants vers l'extérieur du Campus. - Déni de service par saturation du réseau ou des machines. Un certain nombres de mesures techniques et réglementaires de bon sens permettent de réduire les risques, mais : 1) ça nécessite beaucoup de ressources humaines 2) ça demande un suivi régulier sous peine d'être rapidement obsolète De plus, il reste à protéger "malgré eux" tous ceux qui ne se protègent pas d'eux même, principalement pour éviter les piratages par rebond. Cette situation, qui n'est pas spécifique à Lille 1, est due au fait que quasiment toutes les machines du Campus sont accessibles par l'ensemble de l'Internet. Le remède préconisé pour la communauté universitaire par les experts RENATER est de passer de l'état : "On laisse rentrer sur le campus TOUT le trafic Internet quelques soient la machine et le service visés, SAUF pour tel service ou telle machine." à l'état : "On ne laisse RIEN rentrer sur le Campus SAUF si ça concerne tel service ou telle machine." Concrètement, ça revient à poser des filtres IP sur le routeur de site, qui ne laissera rentrer sur le réseau du Campus que les demandes d'accès à des services (ports) clairement identifiés, ceci, bien entendu en concertation avec les responsables informatiques des laboratoires et des services. Remarque : la méthode préconisée bloque les accès entrants, mais pas les accès sortants. En d'autres termes, un utilisateur de l'Université pourra continuer à faire du FTP, du WWW, du telnet, etc... vers l'extérieur Ensuite Dominique Marant a fait le point sur les tests qu'il a effectué sur le routeur. Le filtrage en entrée sur le routeur d'accès au réseau du campus a été expérimenté sur quelques entités représentatives : - Sur le réseau 134.206.0.0 pour les tranches IP du CRI (les postes personnels et les serveurs), du LIFL, du LOA et du FIL - Sur le réseau de service dans sa totalité (relais de messagerie, serveurs DNS, serveur news ...) Cette opération s'est effectuée en relation avec les correspondants réseaux de ces entités qui se sont chargés de fournir la liste des machines et des services associés à laisser ouverts sur l'extérieur. Une fois les filtres en place, une surveillance est faite afin de remonter un oubli éventuel dans l'ouverture des services. Il est à noter qu'on a pu constater lors de cette surveillance des scans en provenance de l'extérieur ce qui confirme d'autant plus l'importance de la mise en place de cette protection. Les retours de cette expérimentation se sont révélés globalement très satisfaisants Il y a eu ensuite de nombreux échanges de point de vue et de témoignages sur les problèmes récents et les remèdes à apporter. Les discussions ont abouties sur un accord général des participants de la nécessité de filtrer en entrée par défaut l'accès aux machines du campus et de n'ouvrir l'accès que pour une liste finie de machines pour les laboratoires et services. Des discussions, est apparue la demande de formation des correspondants réseaux des laboratoires sur les outils de sécurité au niveau des machines. Il y a aussi une demande de réflexion et d'étude de mise en place d'antivirus au niveau du relais de messagerie. Ce thème pourrait être à l'ordre du jour d'une future commission technologies. 2) Bilan sur la séparation des réseaux d'étudiants Rappel des objectifs : - contrôler les flux des étudiants sur l'accès RENATER. Les étudiants sont dix fois plus nombreux que le personnel. Le passage obligé par un proxy/cache permet ce contrôle du flux - les réseaux d'étudiants n'ayant pas l'accès direct à l'Internet cela empêche d'éventuelle tentative d'intrusion d'étudiants de l'USTL vers des sites extérieurs - si des serveurs clandestins WEB ou FTP (Warez) sont installés sur les réseaux pédagogiques, ils ne seront pas vus de l'extérieur Le fait d'être en réseau privés non routés dans l'Internet n'empêche pas l'accès aux différents services : messagerie par un relais, WEB et FTP par un proxy. La seule limite exprimée à ce jour est l'impossibilité pour les étudiants de transférer des données sur des sites externes par FTP. Ce n'est pas un problème si ça ne rentre pas dans un cadre pédagogique. Si ça correspond à un besoin pédagogique, ce transfert doit se faire via l'enseignant responsable. Il est utile de préciser que la Direction de la Recherche du Ministère préconise cette séparation des réseaux pédagogiques. Bernard Szelag a ensuite expliqué les possibilités pour les enseignants de gérer les limitations d'accès à l'Internet des salles ouvertes aux étudiants. Le CRI a mis en place un service web qui permet de contrôler l'accès à l'Internet (WEB et FTP) pour un groupe de postes étudiants. Cet environnement est destiné aux personnes souhaitant contrôler l'accès à l'Internet pour une salle de TP ou une salle en accès libre. Vous trouverez plus de détails à la page http://cache-etu.univ-lille1.fr/zoneadmin/infos.html L'utilisation de ce service est lié à l'usage du proxy-cache. Vous pouvez aussi consulter http://www.univ-lille1.fr/cache Contact pour la mise en place de ce service: http://cache-etu.univ-lille1.fr/zoneadmin/contact.html