formationsecurite:extras
Table of Contents
Livre
Le centre nous offre un livre au choix comme souvenir.
Les choix:
#|
| Participant | ISBN | Titre | Auteur | Éditeur | ||
| Carl | 0130661023 | Computer Networks | Andrew S. Tanenbaum | Prentice Hall PTR | ||
Propositions de Carl
22/04/05
Sniffing
Avec ethereal
Se mettre sur un hub avec 2 machines qui communiquent entre elles. Exemple: machine 3 (192.168.2.3) surfe sur machine 2 (192.168.2.2) et machine 1 (192.168.2.1) sniffe avec ethereal. machine 2 a mis dans son fichier /etc/hosts: 192.168.2.2 carl.salle3.be 192.168.2.2 carl.toto.be 192.168.2.2 carl.rat.com
machine 1: start (sur eth0) machine 3: surfe sur http://carl.salle3.be/ (en clair donc) machine 1: stop machine 1: clear machine 1: Analyse → follow TCP stream
Même chose avec un htaccess: http://carl.toto.be/secret/ login et password sont interceptés et décodés.
Même chose avec une connexion encryptée SSL: https://carl.toto.be/ On voit le certificat (cn, ou, etc.), ensuite c'est encrypté et on voit rien.
Proxy squid
Caracteristiques
- gagner de la bande passante
- gère l'accès pour sortir (login et mot de passe)
- ACLs disant quels sites sont autorisés ou interdits
On peut faire un proxy transparent pour les utilisateurs
- wingate (Windows): libre
- ms-proxy (n'existe plus, est devenu isa server)
- isa server (Windows)
- delegate (Linux): plus simple à configurer que squid
- squid (Linux): plus puissant que delegate
- machine dédicacée (tout le trafic passe par là)
- filtering: bouffe processeur + RAM
- cache: bon disques (SCSI)
- partitions séparées pour cache et pour les logs
Installation
Télécharger
wget http://www.squid-cache.org/Versions/v2/2.5/squid-2.5.STABLE9.tar.bz2
Décompresser et installer:
tar xjf squid-2.5.STABLE9.tar.bz2 cd squid-2.5.STABLE9 ./configure make make install
Squid se trouve dans /usr/local/squid/
Créer un utilisateur spécifique:
adduser squid
Changer le propriétaire:
chown -R squid /usr/local/squid/
Pour lire la man page:
man 8 -M /usr/local/squid/man/ squid
créer le fichier swap:
su - squid -c "/usr/local/squid/sbin/squid -z" 2005/04/22 15:17:10| Creating Swap Directories
su - squid -c /usr/local/squid/bin/RunCache & [1] 18435 root@forma301:/usr/local # Running: squid -sY >> /usr/local/squid/var/squid.out 2>&1
On vérifie qu'il tourne avec le bon utilisateur:
ps aux | grep squid squid 18435 0.0 0.2 2332 1048 pts/1 S 15:18 0:00 /bin/sh /usr/local/squid/bin/RunCache squid 18440 0.0 0.7 5948 4112 pts/1 S 15:18 0:00 squid -NsY squid 18441 0.0 0.0 1396 276 ? Ss 15:18 0:00 (unlinkd) root 18490 0.0 0.1 3032 724 pts/1 S+ 15:19 0:00 grep squid
On peut voir que ça c'est bien passé dans /var/log/messages ou dans /var/log/syslog:
Apr 22 15:18:05 localhost squid[18440]: Starting Squid Cache version 2.5.STABLE9 for i686-pc-linux-gnu... Apr 22 15:18:05 localhost squid[18440]: Process ID 18440 Apr 22 15:18:05 localhost squid[18440]: With 1024 file descriptors available Apr 22 15:18:05 localhost squid[18440]: Performing DNS Tests... Apr 22 15:18:05 localhost squid[18440]: Successful DNS name lookup tests... Apr 22 15:18:05 localhost squid[18440]: DNS Socket created at 0.0.0.0, port 32769, FD 5 Apr 22 15:18:05 localhost squid[18440]: Adding nameserver 10.10.100.7 from /etc/resolv.conf Apr 22 15:18:05 localhost squid[18440]: Adding nameserver 10.10.100.1 from /etc/resolv.conf Apr 22 15:18:05 localhost squid[18440]: Unlinkd pipe opened on FD 10 Apr 22 15:18:05 localhost squid[18440]: Swap maxSize 102400 KB, estimated 7876 objects Apr 22 15:18:05 localhost squid[18440]: Target number of buckets: 393 Apr 22 15:18:05 localhost squid[18440]: Using 8192 Store buckets Apr 22 15:18:05 localhost squid[18440]: Max Mem size: 8192 KB Apr 22 15:18:05 localhost squid[18440]: Max Swap size: 102400 KB Apr 22 15:18:05 localhost squid[18440]: Rebuilding storage in /usr/local/squid/var/cache (DIRTY) Apr 22 15:18:05 localhost squid[18440]: Using Least Load store dir selection Apr 22 15:18:05 localhost squid[18440]: Set Current Directory to /usr/local/squid/var/cache Apr 22 15:18:05 localhost squid[18440]: Loaded Icons. Apr 22 15:18:05 localhost squid[18440]: Accepting HTTP connections at 0.0.0.0, port 3128, FD 11. Apr 22 15:18:05 localhost squid[18440]: Accepting ICP messages at 0.0.0.0, port 3130, FD 12. Apr 22 15:18:05 localhost squid[18440]: WCCP Disabled. Apr 22 15:18:05 localhost squid[18440]: Ready to serve requests. Apr 22 15:18:05 localhost squid[18440]: Done scanning /usr/local/squid/var/cache swaplog (0 entries) Apr 22 15:18:05 localhost squid[18440]: Finished rebuilding storage from disk. Apr 22 15:18:05 localhost squid[18440]: 0 Entries scanned Apr 22 15:18:05 localhost squid[18440]: 0 Invalid entries. Apr 22 15:18:05 localhost squid[18440]: 0 With invalid flags. Apr 22 15:18:05 localhost squid[18440]: 0 Objects loaded. Apr 22 15:18:05 localhost squid[18440]: 0 Objects expired. Apr 22 15:18:05 localhost squid[18440]: 0 Objects cancelled. Apr 22 15:18:05 localhost squid[18440]: 0 Duplicate URLs purged. Apr 22 15:18:05 localhost squid[18440]: 0 Swapfile clashes avoided. Apr 22 15:18:05 localhost squid[18440]: Took 0.4 seconds ( 0.0 objects/sec). Apr 22 15:18:05 localhost squid[18440]: Beginning Validation Procedure Apr 22 15:18:05 localhost squid[18440]: Completed Validation Procedure Apr 22 15:18:05 localhost squid[18440]: Validated 0 Entries Apr 22 15:18:05 localhost squid[18440]: store_swap_size = 0k Apr 22 15:18:06 localhost squid[18440]: storeLateRelease: released 0 objects
Configuration
dans /usr/local/squid/etc/squid.conf
Décommenter:
http_port 3128
Ensuite, aller à ligne 1810.
Dans la section: TAG: http_access <code># INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS acl our_networks src 10.10.3.0/24 http_access allow our_networks http_access deny all</code> Faire relire la configuration au serveur: <code> su - squid -c “/usr/local/squid/sbin/squid -k reconfigure”</code> Pour que la machine qui tourne squid puisse surfer, il faut rajouter 127.0.0.1/24 dans l'acl our_network: <code>acl our_networks src 10.10.3.0/24 127.0.0.1/24</code> Pour interdire un site contenant skynet, créer une règle: <code>acl regle1 dstdom_regex skynet</code> Pour que cette règle soit prise en compte, en-dessous de la définition de la règle: <code>http_access deny regle1</code> 09/06/2005 === Case study === On rajoute 2 gateways linux pour faire la synchronisation de l'AD dans un tunnel IPSec encrypté. 5): on remarque qu'à partir du noyau 2.6.10, il faut rajouter une ligne dans /etc/setkey.conf: <code>spdadd 172.16.2.0/24 172.16.1.0/24 any -P fwd ipsec esp/tunnel/192.168.2.100-192.168.1.100/require;</code> === Intégrer une machine Linux dans un domaine Windows 2000 === Installer les kerberos 5 tools 1.4.1 http://web.mit.edu/kerberos/www/krb5-1.4/ Modifier 2 fichiers de configuration suivants: /etc/samba/smb.conf: <code>realm=FURNITURE.COM encrypted.password=yes workgroup=FURNITURE security=ADS</code> /etc/krb5.conf: Remplacer example.com par furniture.com Pour ajouter la machine à l'active directory: <code>net ads join -U Administrator@FURNITURE.COM</code> Une fois que c'est fait, pour se logguer en tant que toto: <code> kinit toto</code>
1)
http://www.oreilly.com/catalog/sshtdg/index.html SSH, The Secure Shell: The Definitive Guide
2)
http://www.oreilly.com/catalog/esa3/ Essential System Administration, 3rd Edition
5)
http://www.ipsec-howto.org/x282.html Native IPsec stack of the Linux Kernel ≥ 2.6
formationsecurite/extras.txt · Last modified: 2013/01/30 17:52 (external edit)
Except where otherwise noted, content on this wiki is licensed under the following license: CC Attribution-Share Alike 4.0 International
