- Date : 28 janvier 2002
- Lieu : Salle des Thèses - Université des Sciences Sociales de Toulouse
- Rédaction : Stéphane Aubert <Stephane.Aubert@hsc.fr>
- Relecture : Benjamin David, Denis Ducamp
- Nombre de personnes présentes : 50
Par Benjamin David
StoneSoft France
Architecture à 3 niveaux :
- Gui client
- management system
- firewall cluster
Tous les éléments sont identifiés.
Le serveur de log est une base SQL.
A cours terme des outils de reporting seront ajoutés.
Il n'y a pas d'outils sur les machines pour modifier les conf.
i.e. un pirate ne peut pas modifier les fichiers de configuration.
(anim: n'y a t'il pas cat sur ce linux pour modifier les config ?!)
L'Engine de stonegate est livré sur linux 2.4.17.
Support réseau :
- jusqu'à 256 ports ethernet, fast ethernet ou gigabit
Stonegate utilise une technologie multi-couches.
Stonegate ne sera jamais proxy relais mais sera toujours proxy transparent.
Ca fonctionne un peu comme wccp sur les boitiers.
La politique de sécurité permet de créer des templates.
Il est possible de faire des groupes de règles
et des les ordonancer en fonction de certains critères comme 'http' ou 'à
destination de la DMZ'.
Il y a 3 niveaux de répartition de charge et de clustering.
Les adresses MAC sont identiques sur toutes les machines : unicast MAC
commune à tous les noeuds
Ils insèrent un driver virtuel dans la pile IP pour insérer la gestion de
leur protocole HeartBeat.
La répartition de charges se fait alors en fonction :
- srcip
- destip
- srcip
- dstip
- node capacity
- node load
- node status
- node id
- Pour aller des clients vers une ressource sur internet
Ils génèrent des SYN depuis les 3 accès pour mesurer le plus rapide à
chaque connexion tcp.
La plus rapide remporte la connexion, les autres sont coupées proprement
(RST).
- Depuis internet, ils utilisent un dyn-dns pour fournir les meilleures
adresses IP
Ils ont leur propre client VPN
mais sont compatibles avec ceux du marcher
Ils proposent une répartition de charge pour les VPN sur plusieurs accès.
Les accès internet peuvent être de nature différente (LS, ADSL ...)
Important : pas besoin de gérer BGP4 pour bénéficier de différents accès
internet
- La couche IPsec est maison ?
- non c'est un EOM de celle de SSH
- Il faut une synchronisation des tables internes pour faire que
l'équilibrage au sein d'une session TCP ?
- oui il y a 2 types de synchronisation : totale et incrémentale
- D'ou vient le filtre IP utilisé ?
- Le filtrage est fait par StoneSoft.
- Gérez-vous les sessions tcp jusqu'au numéros de séquence TCP ?
- oui mais seulement dans le handshake tcp
- Donc comme Netfilter ?
- Combien ca coute ?
- Quel est le nombre d'installation en france ?
- environ 10 installations
- une référence publique : Renault Sport
- 100 références dans le monde.
- Au niveau de la déclaration du VPN ?
- le dépot de dossier a été fait
- Le produit est-il certifié ?
- certification : ICSA, EAL4, FPS120
- ICSA en finalisation (attente du document officiel)
- On ne sait pas si c'est certifier sur les autres versions de noyaux.
- critères communs commencé depuis plusieurs mois réalisé au US
- Peut-on trouver des résultats de tests contre les dénis de services ?
- Filtrages applicatifs :
- FTP : faible pour l'instant
- Filtrage pour FTP : gestion du FTP au niveau applicatif (il faut passer
par le "Protocol Agent").
- Assez pauvre en relais applicatifs pour l'instant
- Dans la prochaine version on pourra créer son propre relais
- Possibilité de faire du CVP ?
- Aucun système genre CVP, que des redirection de ports transparente.
- Support du routage dynamique ?
- pas du tout !
- avec la gestioin du multi-link pas besoin de BGP, de hsrp et vrrp
- on peut aussi mettre une redondance un lien ADSL
- Peut-on s'authentifier pour ouvrir un flux ?
- Restriction sur le matériel ?
- non sauf sur les cartes réseaux (unicast mac)
- StoneSoft ne vend que le soft
- Liste de diffusion des problèmes de sécurité ?
- avec la maintenance : il y a une liste en anglais sur les problèmes de
sécurité
- les produits StoneSoft ne sont vendus que via des partenaires
Par Denis Ducamp
HSC Toulouse
Présentation du patch grsecurity : http://www.grsecurity.net/
Le patch grsecurity regroupe un grand nombre d'options de
durcissement du noyau linux. Cette présentation a fait le tour de
chacune des options en expliquant contre quelles attaques elles luttent
et si réellement elles sont utiles.
Le durcissement d'OS c'est interdire certains appels de fonction dans certains cas et interdire l'accès à certaines ressources même pour root.
- question : outb, par exemple, bas niveau sous bsd semble poser des problèmes de contournement de ce genre de protection, qu'en est il pour linux ?
- Pour effectuer une opération de type outb depuis l'espace utilisateur, il
faut demander la permission via un appel à ioperm ou à iopl. La permission
est accordée si le processus possède le privilège CAP_SYS_RAWIO. Normalement
seul root possède ce privilège.
Il est donc possible :
- d'activer dans le patch grsecurity l'option CONFIG_GRKERNSEC_CHROOT_CAPS
pour empécher les programmes root chrootés d'avoir le privilège
CAP_SYS_RAWIO et donc d'obtenir une permission
- de modifier /proc/sys/kernel/cap-bound pour supprimer du système le
privilège CAP_SYS_RAWIO ce qui supprime ce droit de tous les processus
qui le possèdent. Il est possible d'utiliser lcap pour cela :
http://pweb.netcom.com/~spoon/lcap/
- Les exploits actuelles utilisent-t-elles du code pour sortir des chroot ?
- L'exemple a été montré contre BIND, mais ca ne reste pas très répendu
- Y a t'il un lien possible avec linux security modules ? Genre openwall dans un module ?
- Linux Security Module (LSM), disponible sur http://lsm.immunix.org/ est un
environnement permettant d'attacher des fonctions de sécurité dans un
certain nombre de structures systèmes. Ceci permet donc d'effectuer des
vérifications de sécurité en cours d'exécution pour durcir le système.
Seules certaines fonctionnalités peuvent être portées sous ce système et un
portage du patch Openwall est déjà en standard dans LSM, mais seules les
fonctions suivantes sont actuellement présentes (et en cours de test) :
- add RLIMITS_NPROC to execve
- Restricted links in /tmp
- Special handling of fd 0, 1, and 2
Si d'autres fonctions devraient pouvoir être portées sous LSM, certaines
fonctions comme la pile non exécutable ne correspondent pas au modèle LSM et
nécessiteront un patch optionnel.
- Quel est le groupe utilisé pour ces protections ?
- tous les groupes peuvent être utilisés, il faut ajouter un utilisateur dans le groupe choisi.
- Est ce que ca marche bien dans le sens où ca ne fait pas planter l'OS ?
- Je n'ai pas une grande expérience dans l'utilisation du patch grsecurity,
mais j'utilise le patch Openwall sur plusieurs machines avec bind, apache,
postfix, etc depuis longtemps et je n'ai constaté aucun problème.
- Pourquoi n'est il pas installé dans les distributions ?
- Il est important que le système soit durci avant que ce genre de patch soit
appliqué. Il est nécessaire par exemple que les démons soient tous
correctement configurés (chroot, identité non privilégiée, etc) car si un
pirate arrive à passer root ou à avoir accès à toute le système alors il en
prendra le contrôle total.
Or les distributions les plus courantes ne peuvent faire en sorte
d'installer tous les démons de façon optimale d'un point de vue sécurité,
ceci entrainerait des difficultés pour nombre d'administrateurs et de plus
ceci est superflu dans le cas de machines qui ne sont pas accessibles depuis
des réseaux hostiles.