User Tools

Site Tools


formationsecurite:extras

Differences

This shows you the differences between two versions of the page.

Link to this comparison view

formationsecurite:extras [2013/01/30 17:52] (current)
Line 1: Line 1:
 +=== Livre ===
 +Le centre nous offre un livre au choix comme souvenir.
  
 +Les choix:
 +
 +#|
 +|| __Participant__ | __ISBN__ | __Titre__ | __Auteur__ | __Éditeur__ ||
 +|| Carl | 0130661023 | Computer Networks | Andrew S. Tanenbaum | Prentice Hall PTR ||
 +|#
 +
 +Propositions de Carl
 +  * ((http://www.oreilly.com/catalog/sshtdg/index.html SSH, The Secure Shell: The Definitive Guide)), 1e Ed. 01/2001 ~O'Reilly (VF: 52.00 EUR)
 +  * ((http://www.oreilly.com/catalog/esa3/ Essential System Administration, 3rd Edition)) ~O'Reilly
 +  * ((http://www.freebsdmall.com/cgi-bin/fm/bsdhandbk3.set?mv_pc=37 [[FreeBSD]] Handbook))
 +  * ((http://www.amazon.com/exec/obidos/tg/detail/-/0130661023/qid=1115128155/sr=1-4/ref=sr_1_4/104-4093636-5719917?v=glance&s=books Computer Networks)), Fourth Edition by Andrew S. Tanenbaum 
 +
 +----
 +
 +22/04/05
 +
 +=== Sniffing ===
 +
 +Avec ethereal
 +
 +Se mettre sur un hub avec 2 machines qui communiquent entre elles.
 +Exemple: machine 3 (192.168.2.3) surfe sur machine 2 (192.168.2.2) et machine 1 (192.168.2.1) sniffe avec ethereal.
 +machine 2 a mis dans son fichier /etc/hosts:
 +192.168.2.2 carl.salle3.be
 +192.168.2.2 carl.toto.be
 +192.168.2.2 carl.rat.com
 +
 +machine 1: start (sur eth0)
 +machine 3: surfe sur http://carl.salle3.be/ (en clair donc)
 +machine 1: stop
 +machine 1: clear
 +machine 1: Analyse -> follow TCP stream
 +
 +Même chose avec un htaccess: http://carl.toto.be/secret/
 +login et password sont interceptés et décodés.
 +
 +Même chose avec une connexion encryptée SSL: https://carl.toto.be/
 +On voit le certificat (cn, ou, etc.), ensuite c'est encrypté et on voit rien.
 +
 +
 +=== Proxy squid ===
 +
 +http://www.squid-cache.org/
 +
 +==== Caracteristiques ====
 +
 +  * gagner de la bande passante
 +  * gère l'accès pour sortir (login et mot de passe)
 +  * ACLs disant quels sites sont autorisés ou interdits
 +
 +On peut faire un proxy transparent pour les utilisateurs
 +
 +  * wingate ([[Windows]]): libre
 +  * ms-proxy (n'existe plus, est devenu isa server)
 +  * isa server ([[Windows]])
 +  * delegate (Linux): plus simple à configurer que squid
 +  * squid (Linux): plus puissant que delegate
 +
 +  * machine dédicacée (tout le trafic passe par là)
 +    * filtering: bouffe processeur + RAM
 +    * cache: bon disques (SCSI)
 +    * partitions séparées pour cache et pour les logs
 +
 +
 +==== Installation ====
 +
 +Télécharger
 +<code>wget http://www.squid-cache.org/Versions/v2/2.5/squid-2.5.STABLE9.tar.bz2</code>
 +
 +Décompresser et installer:
 +<code>tar xjf squid-2.5.STABLE9.tar.bz2
 +cd squid-2.5.STABLE9
 +./configure
 +make
 +make install</code>
 +
 +Squid se trouve dans /usr/local/squid/
 +
 +Créer un utilisateur spécifique:
 +<code>adduser squid</code>
 +
 +Changer le propriétaire:
 +<code>chown -R squid /usr/local/squid/</code>
 +
 +Pour lire la man page:
 +<code>man 8 -M /usr/local/squid/man/ squid</code>
 +
 +créer le fichier swap:
 +<code>su - squid -c "/usr/local/squid/sbin/squid -z"
 +2005/04/22 15:17:10| Creating Swap Directories</code>
 +
 +<code>su - squid -c /usr/local/squid/bin/RunCache &
 +[1] 18435
 +root@forma301:/usr/local # Running: squid -sY  >> /usr/local/squid/var/squid.out 2>&1</code>
 +
 +On vérifie qu'il tourne avec le bon utilisateur:
 +<code>ps aux | grep squid
 +squid    18435  0.0  0.2   2332  1048 pts/1    S    15:18   0:00 /bin/sh /usr/local/squid/bin/RunCache
 +squid    18440  0.0  0.7   5948  4112 pts/1    S    15:18   0:00 squid -NsY
 +squid    18441  0.0  0.0   1396   276 ?        Ss   15:18   0:00 (unlinkd)
 +root     18490  0.0  0.1   3032   724 pts/1    S+   15:19   0:00 grep squid</code>
 +
 +On peut voir que ça c'est bien passé dans /var/log/messages ou dans /var/log/syslog:
 +
 +<code>Apr 22 15:18:05 localhost squid[18440]: Starting Squid Cache version 2.5.STABLE9 for i686-pc-linux-gnu...
 +Apr 22 15:18:05 localhost squid[18440]: Process ID 18440
 +Apr 22 15:18:05 localhost squid[18440]: With 1024 file descriptors available
 +Apr 22 15:18:05 localhost squid[18440]: Performing DNS Tests...
 +Apr 22 15:18:05 localhost squid[18440]: Successful DNS name lookup tests...
 +Apr 22 15:18:05 localhost squid[18440]: DNS Socket created at 0.0.0.0, port 32769, FD 5
 +Apr 22 15:18:05 localhost squid[18440]: Adding nameserver 10.10.100.7 from /etc/resolv.conf
 +Apr 22 15:18:05 localhost squid[18440]: Adding nameserver 10.10.100.1 from /etc/resolv.conf
 +Apr 22 15:18:05 localhost squid[18440]: Unlinkd pipe opened on FD 10
 +Apr 22 15:18:05 localhost squid[18440]: Swap maxSize 102400 KB, estimated 7876 objects
 +Apr 22 15:18:05 localhost squid[18440]: Target number of buckets: 393
 +Apr 22 15:18:05 localhost squid[18440]: Using 8192 Store buckets
 +Apr 22 15:18:05 localhost squid[18440]: Max Mem  size: 8192 KB
 +Apr 22 15:18:05 localhost squid[18440]: Max Swap size: 102400 KB
 +Apr 22 15:18:05 localhost squid[18440]: Rebuilding storage in /usr/local/squid/var/cache (DIRTY)
 +Apr 22 15:18:05 localhost squid[18440]: Using Least Load store dir selection
 +Apr 22 15:18:05 localhost squid[18440]: Set Current Directory to /usr/local/squid/var/cache
 +Apr 22 15:18:05 localhost squid[18440]: Loaded Icons.
 +Apr 22 15:18:05 localhost squid[18440]: Accepting HTTP connections at 0.0.0.0, port 3128, FD 11.
 +Apr 22 15:18:05 localhost squid[18440]: Accepting ICP messages at 0.0.0.0, port 3130, FD 12.
 +Apr 22 15:18:05 localhost squid[18440]: WCCP Disabled.
 +Apr 22 15:18:05 localhost squid[18440]: Ready to serve requests.
 +Apr 22 15:18:05 localhost squid[18440]: Done scanning /usr/local/squid/var/cache swaplog (0 entries)
 +Apr 22 15:18:05 localhost squid[18440]: Finished rebuilding storage from disk.
 +Apr 22 15:18:05 localhost squid[18440]:         0 Entries scanned
 +Apr 22 15:18:05 localhost squid[18440]:         0 Invalid entries.
 +Apr 22 15:18:05 localhost squid[18440]:         0 With invalid flags.
 +Apr 22 15:18:05 localhost squid[18440]:         0 Objects loaded.
 +Apr 22 15:18:05 localhost squid[18440]:         0 Objects expired.
 +Apr 22 15:18:05 localhost squid[18440]:         0 Objects cancelled.
 +Apr 22 15:18:05 localhost squid[18440]:         0 Duplicate URLs purged.
 +Apr 22 15:18:05 localhost squid[18440]:         0 Swapfile clashes avoided.
 +Apr 22 15:18:05 localhost squid[18440]:   Took 0.4 seconds (   0.0 objects/sec).
 +Apr 22 15:18:05 localhost squid[18440]: Beginning Validation Procedure
 +Apr 22 15:18:05 localhost squid[18440]:   Completed Validation Procedure
 +Apr 22 15:18:05 localhost squid[18440]:   Validated 0 Entries
 +Apr 22 15:18:05 localhost squid[18440]:   store_swap_size = 0k
 +Apr 22 15:18:06 localhost squid[18440]: storeLateRelease: released 0 objects</code>
 +
 +
 +==== Configuration ====
 +dans /usr/local/squid/etc/squid.conf
 +
 +Décommenter:
 +<code>http_port 3128</code>
 +
 +Ensuite, aller à ligne 1810.
 +
 +Dans la section: //TAG: http_access
 +
 +<code># INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS
 +
 +acl our_networks src 10.10.3.0/24
 +http_access allow our_networks
 +http_access deny all</code>
 +
 +Faire relire la configuration au serveur:
 +
 +<code> su - squid -c "/usr/local/squid/sbin/squid -k reconfigure"</code>
 +
 +Pour que la machine qui tourne squid puisse surfer, il faut rajouter 127.0.0.1/24 dans l'acl our_network:
 +<code>acl our_networks src 10.10.3.0/24 127.0.0.1/24</code>
 +
 +Pour interdire un site contenant skynet, créer une règle:
 +<code>acl regle1 dstdom_regex skynet</code>
 +
 +Pour que cette règle soit prise en compte, en-dessous de la définition de la règle:
 +<code>http_access deny regle1</code>
 +
 +
 +09/06/2005
 +
 +=== Case study ===
 +On rajoute 2 gateways linux pour faire la synchronisation de l'AD dans un tunnel IPSec encrypté.
 +((http://www.ipsec-howto.org/x282.html Native IPsec stack of the Linux Kernel &#8805; 2.6)): on remarque qu'à partir du noyau 2.6.10, il faut rajouter une ligne dans /etc/setkey.conf:
 +<code>spdadd 172.16.2.0/24 172.16.1.0/24 any -P fwd ipsec
 +           esp/tunnel/192.168.2.100-192.168.1.100/require;</code>
 +
 +=== Intégrer une machine Linux dans un domaine [[Windows]] 2000 ===
 +
 +Installer les kerberos 5 tools 1.4.1 http://web.mit.edu/kerberos/www/krb5-1.4/
 +
 +Modifier 2 fichiers de configuration suivants:
 +/etc/samba/smb.conf:
 +<code>realm=FURNITURE.COM
 +encrypted.password=yes
 +workgroup=FURNITURE
 +security=ADS</code>
 +/etc/krb5.conf:
 +Remplacer example.com par furniture.com
 +
 +Pour ajouter la machine à l'active directory:
 +<code>net ads join -U Administrator@FURNITURE.COM</code>
 +
 +Une fois que c'est fait, pour se logguer en tant que toto:
 +<code> kinit toto</code>
formationsecurite/extras.txt · Last modified: 2013/01/30 17:52 (external edit)