Commission Technologies du 29 mai 2000

Lundi 29 mai 2000 à 9h30

Ordre du jour

Discussion sur la mise en place d'outils de sécurité au niveau de l'accès au réseau du campus. En effet les attaques de plus en plus fréquentes sur les sites (déni de service par inondation, intrusion sur les machines, attaque par rebond, cheval de Troie,) nous oblige à prévoir des contrôles d'accès plus importants. Les différentes méthodes, les apports et les inconvénients seront discutés.
Bilan sur la séparation des réseaux d'étudiants des réseaux des personnels.

Compte-rendu

Remarque : Gérard Temperman a produit un compte-rendu plus officiel.

Mise en place d'outils de sécurité au niveau de l'accès au réseau du campus

Gérard Temperman (CRI, équipe réseau) présente deux transparents du CERT-RENATER (commission de sécurité du fournisseur d'accès RENATER). Le premier présente une estimation du nombre d'incidents de type attaque sur l'ensemble des sites desservis par RENATER. Il s'agit du nombre d'incidents depuis janvier 1997 jusqu'à février 2000. En gros quelques incidents par mois début 1997 jusqu'à 300 incidents par mois début 2000. Le second transparent illustre la technique d'attaque par "rebond" (des machines autres que celles des "pirates" sont utilisées pour "attaquer" une autre machine).

Eric Cassette (CRI, sécurité) nous fait un petit discours. Son but est "de nous faire peur" (dixit), il explique qu'il n'est plus possible de travailler comme avant. Les attaques se font de plus en plus complexes et font perdre de plus en plus de temps au CRI. Il donne l'exemple d'une "attaque" contre un laboratoire de l'USTL qui s'est déroulée il y a quelques mois. La cible était une machine de type Unix, les processus "pirates" et leurs fichiers étaient cachés. Il dit que le problème est plus aigu pour les personnes qui ne sont pas à cette réunion car ces personnes ne sont pas sensibilisées à la sécurité. De plus le nombre de machines "cibles potentielles" est en hausse. Eric Cassette annonce donc un changement de politique (il cite comme caution le nom de Jean-Luc Archimbaud, personne reconnue dans la communauté RENATER). L'ancienne politique consistait à laisser passer tous les flux en entrée des campus et à interdire explicitement certains flux (politique tout est permis sauf ce qui est expressément interdit). La nouvelle politique et d'interdire par défaut tous les flux dans le sens Internet vers le campus et d'autoriser certains flux à rentrer, par exemple, sur les machines de services (politique tout est interdit en entrée sauf ce qui est expressément autorisé). Bien sûr, il ne faut pas que ce changement de politique gène les utilisateurs.

Dominique Marant (CRI, équipe réseau) prend la parole pour les aspects techniques. Il insiste bien sur le fait que les flux en sortie (dans le sens campus vers Internet) ne sont pas perturbés. Il explique que des tests ont été faits avec les laboratoires LIFL et LOA sans qu'il y eu de retour négatifs. L'administrateur du LIFL confirme que tout s'est passé sans que les utilisateurs s'en rendent compte.

Intervention : Un utilisateur du LIFL dit que, si les gens s'en sont aperçu, qu'il y a eu quelques problèmes au début mais qu'après concertation avec le CRI ces problèmes ont été corrigés.

Enfin Dominique Marant explique que les composantes devront donner le nom des machines pouvant accepter des connexions de l'extérieur. Pour des raisons d'efficacité il ne faut donner qu'un faible nombre de machines.

Intervention : Sera-t-il encore possible de faire un FTP de l'extérieur vers sa machine sur le campus ?
Réponse : Ce sera uniquement possible pour les machines dont le nom sera donné au CRI.

Intervention : Le filtrage se fait-il au niveau du routeur d'entrée au campus ?
Réponse : Oui.

Intervention : Serait-il possible de ne pas filtrer certains réseaux IP servant à des fins d'enseignement d'installation de services Internet et certains réseaux sur lesquels ne se trouvent que des machines de service ?
Réponse : Ce n'est pas possible pour les machines de service pour des raisons de sécurité (attaque par rebond). Pour les réseaux à fins d'enseignement il faudra demander au CRI quelques jours avant le début des enseignements.

XR : Il s'agit d'une de mes interventions. Elle était plus longue et les réactions plus importantes que les quelques lignes ci-dessus ne le laisse paraître. En gros je trouve que le filtrage au niveau du CRI complique ma tâche d'administrateur réseau simplement parce qu'elle introduit un délai supplémentaire dans la mise en place d'un service (demander l'autorisation au CRI). De la même façon ce filtrage complique la mise en place de TP sur Internet. Cette opinion à suscité un certain émoi, par exemple, le responsable sécurité de centrale était tout à fait opposé à laisser des machines de service de l'EUDIL sans filtre en entrée. Il a expliqué que des piratages avaient eu lieu en provenance de machines de l'EUDIL (du réseau 134.206.0.0) avec des comptes de TPs. Mon avis étant clairement marginal je ne l'ai pas plus défendu dans la suite de la discussion.

Intervention : Il faudrait créer un comité de sécurité sur le campus.

Intervention : Il faut sensibiliser les possesseurs de machines "ouvertes" au fait qu'il faut qu'ils fassent attention.

Intervention : Il faut nommer des responsables dans les composantes pour faire l'interface avec le CRI (pour demander l'ajout d'une machine dans les filtres du routeur).

Intervention : Des tests d'attaque ont-ils été menés avec le filtre ? Ça tient la route ?
Réponse : Un fois le filtre mis en place on voit passer des paquets refusés.

Intervention : Il faudrait que des personnes du CRI surveillent la configuration des machines du campus pour repérer les machines non sécurisées ou mal configurées.
Réponse : C'est impossible ça prendrait trop de temps.

Gérard Temperman conclu cette discussion en disant que la nouvelle politique de filtrage est recommandée par la présente commission technologique et que cela sera signifié au CARI.

Bilan sur la séparation des réseaux d'étudiants des réseaux des personnels

Gérard Temperman rappelle que la séparation des réseaux d'étudiants des réseaux des personnels a deux buts : la sécurité et la possibilité de "freiner" le flux étudiant si le besoin se fait sentir.

XR : J'ai du louper un épisode, quand j'ai participé aux commissions technologiques à ce sujet, seul le fait d'isoler les étudiants pour éviter qu'ils ne s'introduisent sur des machines hors campus était évoqué.

Les étudiants sont donc isolés dans des réseaux non routés (il n'ont pas d'accès à Internet par défaut) mais peuvent utiliser le Web et télécharger des documents en utilisant le serveur proxy du CRI. De la même façon ils ont accès à la messagerie via les serveurs de messagerie des composantes ou du CRI.

Gérard Temperman dit encore que le seul retour négatif sur cette séparation est la demande de certains étudiants de pouvoir déposer des documents sur des sites FTP. Il estime que si ce dépôt est à des fins pédagogiques les étudiants peuvent passer par les permanents pour effectuer le dépôt. Si ce dépôt est à des fins personnelles les étudiants doivent le faire de chez eux.

Intervention : Le CRI peut-il préciser comment les administrateurs peuvent contrôler l'accès au Web pour des plages horaires précises ?
Réponse : Une page Web est à disposition de ces administrateurs. Avec un mot de passe, ils peuvent interdire l'accès au cache ou l'autoriser. Ils peuvent aussi l'autoriser pour une heure ou suivant un calendrier horaire donné. En fait on peut imaginer pas mal d'autres possibilités.

Gérard Temperman conclut cette discussion en disant que la séparation des réseaux ne pose pas de problème.

Xavier REDON