User Tools

Site Tools


formationsecurite:extras

Differences

This shows you the differences between two versions of the page.

Link to this comparison view

formationsecurite:extras [2013/01/30 17:52] (current)
Line 1: Line 1:
 +=== Livre ===
 +Le centre nous offre un livre au choix comme souvenir.
  
 +Les choix:
 +
 +#|
 +|| __Participant__ | __ISBN__ | __Titre__ | __Auteur__ | __Éditeur__ ||
 +|| Carl | 0130661023 | Computer Networks | Andrew S. Tanenbaum | Prentice Hall PTR ||
 +|#
 +
 +Propositions de Carl
 +  * ((http://​www.oreilly.com/​catalog/​sshtdg/​index.html SSH, The Secure Shell: The Definitive Guide)), 1e Ed. 01/2001 ~O'​Reilly (VF: 52.00 EUR)
 +  * ((http://​www.oreilly.com/​catalog/​esa3/​ Essential System Administration,​ 3rd Edition)) ~O'​Reilly
 +  * ((http://​www.freebsdmall.com/​cgi-bin/​fm/​bsdhandbk3.set?​mv_pc=37 [[FreeBSD]] Handbook))
 +  * ((http://​www.amazon.com/​exec/​obidos/​tg/​detail/​-/​0130661023/​qid=1115128155/​sr=1-4/​ref=sr_1_4/​104-4093636-5719917?​v=glance&​s=books Computer Networks)), Fourth Edition by Andrew S. Tanenbaum ​
 +
 +----
 +
 +22/04/05
 +
 +=== Sniffing ===
 +
 +Avec ethereal
 +
 +Se mettre sur un hub avec 2 machines qui communiquent entre elles.
 +Exemple: machine 3 (192.168.2.3) surfe sur machine 2 (192.168.2.2) et machine 1 (192.168.2.1) sniffe avec ethereal.
 +machine 2 a mis dans son fichier /etc/hosts:
 +192.168.2.2 carl.salle3.be
 +192.168.2.2 carl.toto.be
 +192.168.2.2 carl.rat.com
 +
 +machine 1: start (sur eth0)
 +machine 3: surfe sur http://​carl.salle3.be/​ (en clair donc)
 +machine 1: stop
 +machine 1: clear
 +machine 1: Analyse -> follow TCP stream
 +
 +Même chose avec un htaccess: http://​carl.toto.be/​secret/​
 +login et password sont interceptés et décodés.
 +
 +Même chose avec une connexion encryptée SSL: https://​carl.toto.be/​
 +On voit le certificat (cn, ou, etc.), ensuite c'est encrypté et on voit rien.
 +
 +
 +=== Proxy squid ===
 +
 +http://​www.squid-cache.org/​
 +
 +==== Caracteristiques ====
 +
 +  * gagner de la bande passante
 +  * gère l'​accès pour sortir (login et mot de passe)
 +  * ACLs disant quels sites sont autorisés ou interdits
 +
 +On peut faire un proxy transparent pour les utilisateurs
 +
 +  * wingate ([[Windows]]):​ libre
 +  * ms-proxy (n'​existe plus, est devenu isa server)
 +  * isa server ([[Windows]])
 +  * delegate (Linux): plus simple à configurer que squid
 +  * squid (Linux): plus puissant que delegate
 +
 +  * machine dédicacée (tout le trafic passe par là)
 +    * filtering: bouffe processeur + RAM
 +    * cache: bon disques (SCSI)
 +    * partitions séparées pour cache et pour les logs
 +
 +
 +==== Installation ====
 +
 +Télécharger
 +<​code>​wget http://​www.squid-cache.org/​Versions/​v2/​2.5/​squid-2.5.STABLE9.tar.bz2</​code>​
 +
 +Décompresser et installer:
 +<​code>​tar xjf squid-2.5.STABLE9.tar.bz2
 +cd squid-2.5.STABLE9
 +./configure
 +make
 +make install</​code>​
 +
 +Squid se trouve dans /​usr/​local/​squid/​
 +
 +Créer un utilisateur spécifique:​
 +<​code>​adduser squid</​code>​
 +
 +Changer le propriétaire:​
 +<​code>​chown -R squid /​usr/​local/​squid/</​code>​
 +
 +Pour lire la man page:
 +<​code>​man 8 -M /​usr/​local/​squid/​man/​ squid</​code>​
 +
 +créer le fichier swap:
 +<​code>​su - squid -c "/​usr/​local/​squid/​sbin/​squid -z"
 +2005/04/22 15:17:10| Creating Swap Directories</​code>​
 +
 +<​code>​su - squid -c /​usr/​local/​squid/​bin/​RunCache &
 +[1] 18435
 +root@forma301:/​usr/​local # Running: squid -sY  >> /​usr/​local/​squid/​var/​squid.out 2>&​1</​code>​
 +
 +On vérifie qu'il tourne avec le bon utilisateur:​
 +<​code>​ps aux | grep squid
 +squid    18435  0.0  0.2   ​2332 ​ 1048 pts/1    S    15:18   0:00 /bin/sh /​usr/​local/​squid/​bin/​RunCache
 +squid    18440  0.0  0.7   ​5948 ​ 4112 pts/1    S    15:18   0:00 squid -NsY
 +squid    18441  0.0  0.0   ​1396 ​  276 ?        Ss   ​15:​18 ​  0:00 (unlinkd)
 +root     ​18490 ​ 0.0  0.1   ​3032 ​  724 pts/1    S+   ​15:​19 ​  0:00 grep squid</​code>​
 +
 +On peut voir que ça c'est bien passé dans /​var/​log/​messages ou dans /​var/​log/​syslog:​
 +
 +<​code>​Apr 22 15:18:05 localhost squid[18440]:​ Starting Squid Cache version 2.5.STABLE9 for i686-pc-linux-gnu...
 +Apr 22 15:18:05 localhost squid[18440]:​ Process ID 18440
 +Apr 22 15:18:05 localhost squid[18440]:​ With 1024 file descriptors available
 +Apr 22 15:18:05 localhost squid[18440]:​ Performing DNS Tests...
 +Apr 22 15:18:05 localhost squid[18440]:​ Successful DNS name lookup tests...
 +Apr 22 15:18:05 localhost squid[18440]:​ DNS Socket created at 0.0.0.0, port 32769, FD 5
 +Apr 22 15:18:05 localhost squid[18440]:​ Adding nameserver 10.10.100.7 from /​etc/​resolv.conf
 +Apr 22 15:18:05 localhost squid[18440]:​ Adding nameserver 10.10.100.1 from /​etc/​resolv.conf
 +Apr 22 15:18:05 localhost squid[18440]:​ Unlinkd pipe opened on FD 10
 +Apr 22 15:18:05 localhost squid[18440]:​ Swap maxSize 102400 KB, estimated 7876 objects
 +Apr 22 15:18:05 localhost squid[18440]:​ Target number of buckets: 393
 +Apr 22 15:18:05 localhost squid[18440]:​ Using 8192 Store buckets
 +Apr 22 15:18:05 localhost squid[18440]:​ Max Mem  size: 8192 KB
 +Apr 22 15:18:05 localhost squid[18440]:​ Max Swap size: 102400 KB
 +Apr 22 15:18:05 localhost squid[18440]:​ Rebuilding storage in /​usr/​local/​squid/​var/​cache (DIRTY)
 +Apr 22 15:18:05 localhost squid[18440]:​ Using Least Load store dir selection
 +Apr 22 15:18:05 localhost squid[18440]:​ Set Current Directory to /​usr/​local/​squid/​var/​cache
 +Apr 22 15:18:05 localhost squid[18440]:​ Loaded Icons.
 +Apr 22 15:18:05 localhost squid[18440]:​ Accepting HTTP connections at 0.0.0.0, port 3128, FD 11.
 +Apr 22 15:18:05 localhost squid[18440]:​ Accepting ICP messages at 0.0.0.0, port 3130, FD 12.
 +Apr 22 15:18:05 localhost squid[18440]:​ WCCP Disabled.
 +Apr 22 15:18:05 localhost squid[18440]:​ Ready to serve requests.
 +Apr 22 15:18:05 localhost squid[18440]:​ Done scanning /​usr/​local/​squid/​var/​cache swaplog (0 entries)
 +Apr 22 15:18:05 localhost squid[18440]:​ Finished rebuilding storage from disk.
 +Apr 22 15:18:05 localhost squid[18440]: ​        0 Entries scanned
 +Apr 22 15:18:05 localhost squid[18440]: ​        0 Invalid entries.
 +Apr 22 15:18:05 localhost squid[18440]: ​        0 With invalid flags.
 +Apr 22 15:18:05 localhost squid[18440]: ​        0 Objects loaded.
 +Apr 22 15:18:05 localhost squid[18440]: ​        0 Objects expired.
 +Apr 22 15:18:05 localhost squid[18440]: ​        0 Objects cancelled.
 +Apr 22 15:18:05 localhost squid[18440]: ​        0 Duplicate URLs purged.
 +Apr 22 15:18:05 localhost squid[18440]: ​        0 Swapfile clashes avoided.
 +Apr 22 15:18:05 localhost squid[18440]: ​  Took 0.4 seconds (   0.0 objects/​sec).
 +Apr 22 15:18:05 localhost squid[18440]:​ Beginning Validation Procedure
 +Apr 22 15:18:05 localhost squid[18440]: ​  ​Completed Validation Procedure
 +Apr 22 15:18:05 localhost squid[18440]: ​  ​Validated 0 Entries
 +Apr 22 15:18:05 localhost squid[18440]: ​  ​store_swap_size = 0k
 +Apr 22 15:18:06 localhost squid[18440]:​ storeLateRelease:​ released 0 objects</​code>​
 +
 +
 +==== Configuration ====
 +dans /​usr/​local/​squid/​etc/​squid.conf
 +
 +Décommenter:​
 +<​code>​http_port 3128</​code>​
 +
 +Ensuite, aller à ligne 1810.
 +
 +Dans la section: //TAG: http_access
 +
 +<​code>#​ INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS
 +
 +acl our_networks src 10.10.3.0/​24
 +http_access allow our_networks
 +http_access deny all</​code>​
 +
 +Faire relire la configuration au serveur:
 +
 +<​code>​ su - squid -c "/​usr/​local/​squid/​sbin/​squid -k reconfigure"</​code>​
 +
 +Pour que la machine qui tourne squid puisse surfer, il faut rajouter 127.0.0.1/​24 dans l'acl our_network:​
 +<​code>​acl our_networks src 10.10.3.0/​24 127.0.0.1/​24</​code>​
 +
 +Pour interdire un site contenant skynet, créer une règle:
 +<​code>​acl regle1 dstdom_regex skynet</​code>​
 +
 +Pour que cette règle soit prise en compte, en-dessous de la définition de la règle:
 +<​code>​http_access deny regle1</​code>​
 +
 +
 +09/06/2005
 +
 +=== Case study ===
 +On rajoute 2 gateways linux pour faire la synchronisation de l'AD dans un tunnel IPSec encrypté.
 +((http://​www.ipsec-howto.org/​x282.html Native IPsec stack of the Linux Kernel &#8805; 2.6)): on remarque qu'à partir du noyau 2.6.10, il faut rajouter une ligne dans /​etc/​setkey.conf:​
 +<​code>​spdadd 172.16.2.0/​24 172.16.1.0/​24 any -P fwd ipsec
 +           ​esp/​tunnel/​192.168.2.100-192.168.1.100/​require;</​code>​
 +
 +=== Intégrer une machine Linux dans un domaine [[Windows]] 2000 ===
 +
 +Installer les kerberos 5 tools 1.4.1 http://​web.mit.edu/​kerberos/​www/​krb5-1.4/​
 +
 +Modifier 2 fichiers de configuration suivants:
 +/​etc/​samba/​smb.conf:​
 +<​code>​realm=FURNITURE.COM
 +encrypted.password=yes
 +workgroup=FURNITURE
 +security=ADS</​code>​
 +/​etc/​krb5.conf:​
 +Remplacer example.com par furniture.com
 +
 +Pour ajouter la machine à l'​active directory:
 +<​code>​net ads join -U Administrator@FURNITURE.COM</​code>​
 +
 +Une fois que c'est fait, pour se logguer en tant que toto:
 +<​code>​ kinit toto</​code>​
formationsecurite/extras.txt · Last modified: 2013/01/30 17:52 (external edit)