RSSI CROUS : RPZ · RPZ externes (internalis´ees !), par exemple Spamhaus. 500 000 domaines. 150...

ContexteSolution

Conclusion

RSSI CROUS : RPZLes DNS flingueurs (avec de l’Audiard dedans)

Fabrice Prigent

Universite Toulouse 1 Capitole

Jeudi 23 Juin 2016

Fabrice Prigent RSSI CROUS : RPZ/ Jeudi 23 Juin 2016 1 / 31

ContexteSolution

ConclusionL’Universite Toulouse 1 CapitoleUne situation qui se degrade

Contexte technique

Bougez pas ! Les mains sur la table. Je vouspreviens qu’on a la puissance de feu d’un croiseur etdes flingues de concours.


ContexteSolution


L’Universite Toulouse 1 Capitole : contexte technique

Les elements de securite ”standard” sont installesFirewall (Iptables),Regulation de bande passante (tc),IDS (Suricata),Proxy filtrant,transparent ou non (Squid + Squidguard),Journalisation des communications (Argus),Portail captif (univ-nautes),Antispam markovien couple a un antivirus (DSPAM, clamav”survitamine”),Eduroam.Honeypot

40 To de donnees echangees par mois.


ContexteSolution


Une situation qui se degrade

70% de nos utilisateurs ne passent pas par les proxies, malgrele DHCP (wpad-url, code 252),le DNS (wpad, et wpad.ut-capitole.fr),la page d’accueil du portail captif,les affiches,les vacataires WiFi.

Mais ils connaissent pas Raoul, ces mecs ! ils vontavoir un reveil penible.


ContexteSolution


Une situation qui se degrade

51% de requetes en SSL (meme chose en volume).Un proxy-cache qui peine a justifier son interet,Les 20 colloques annuels, avec leurs 200-1200 chercheursetrangers, deviennent une priorite.Des machines sur lesquelles on ne peut rien controler,Des malwares a ne plus savoir qu’en faire,Bref du BYOD.

Patricia, mon petit, Je ne voudrais pas te paraıtrevieux jeu ni encore moins grossier, L’adminsys,parfois rude, reste toujours courtois, mais la veritem’oblige a te le dire : ton BYOD commence a meles briser menu


ContexteSolution


Les mises en quarantaine internes


ContexteSolution


Mais l’IP ne suffit pas ?

nslookup www.playboy.com => g.global-ssl.fastly.netnslookup www.gov.uk => www-gov-uk.map.fastly.netnslookup www.france2.fr => w253.w5.akamai.netnslookup www.reddit.com => 198.41.208.* => whois => cloudflare

Seulement, maintenant, on a le droit pour nous (...)Legitime defense, avec moi ca pardonne pas.


ContexteSolution

Conclusion

Les objectifsLes moyensLe principeAvantages / Inconvenients

Les objectifs

Plusieurs objectifsFaciliter l’utilisation de notre reseau.Rester agnostique sur les clients.Conserver un peu la securite.Continuer a loguer plus que l’IP.


ContexteSolution

Conclusion


Les moyens

Quelle information estindispensable a l’usage d’internet ?fournie par DHCP ?respectee, par defaut, par TOUS les clients ?manipulable a loisir ?

Allons vite messieurs, quelqu’un pourrait venir, onpourrait se meprendre, et on jaserait. Nous venonsdeja de froler l’incident.


ContexteSolution

Conclusion


Le DNS


ContexteSolution

Conclusion


Le DNS RPZ : le principe

Response Policy Zone.En bon francais : DNS menteur.Ment a une question DNS : ”Qui est www.playboy.com ?”

www.playboy.com n’existe pas.www.playboy.com est un CNAME de piege.ut-capitole.fr.

Mais ment aussi si la reponse ne lui convient paswww.playboy.com a pour IP 185.31.17.185

mais cette IP ne me convient pas,donc c’est en fait un CNAME de piege.ut-capitole.fr.

Le RPZ pour les tout petits :http://www.bortzmeyer.org/rpz-faire-mentir-resolveur-dns.html


http://www.bortzmeyer.org/rpz-faire-mentir-resolveur-dns.html

ContexteSolution

Conclusion


Le DNS RPZ : les besoins techniques

Bind 9.8 minimum, mais 9.10 VRAIMENT preferable (9.9 enRHEL 7).

Possibilite d’exclure du RPZ des machines.Acceleration des recherches (Log(n) au lieu de (n)).Fichier de zone en mode raw (attention au format map !).

Des listes de domainesBlacklists habituelles transformees en zone DNS(malware,adult,proxies)RPZ externes (internalisees !), par exemple Spamhaus.

500 000 domaines.150 domaines ajoutes/enleves chaque 5 minutes.

Plus de memoire (2 Go).Plus de disque (Logs : 500 Ko compresses par minute).


ContexteSolution

Conclusion


Le DNS RPZ : les requetes


ContexteSolution

Conclusion


Le DNS RPZ : la charge cpu


ContexteSolution

Conclusion


Le DNS RPZ : la charge memoire


ContexteSolution

Conclusion


Le DNS RPZ : Configuration

zone "rpz.warez.ut1" {type master;masterfile-format raw;file "rpz.warez.raw";allow-query { none; };

};

zone "rpz.spamhaus.org" {type slave;file "rpz.spamhaus.org.db";masterfile-format raw;masters { 199.168.90.51; 199.168.90.52; 199.168.90.53; };

};

response-policy {zone "rpz-whitelist-spamhaus" policy passthru;zone "rpz.spamhaus.org" policy cname narfi.ut-capitole.fr;zone "rpz.malware.ut1" policy cname narfi.ut-capitole.fr;zone "rpz.warez.ut1" policy cname narfi.ut-capitole.fr;

};


ContexteSolution

Conclusion


Le DNS RPZ : Configuration d’une zone

$TTL 5M@ 1H IN SOA nonexistent.nodomain.none. hostmaster 1412036025 8H 2H 1W 2H@ IN NS nonexistent.nodomain.none.*.777port.li IN CNAME .777prime.com IN CNAME .*.777prime.com IN CNAME .777primegames.com IN CNAME .*.777primegames.com IN CNAME .777promo.com IN CNAME .*.777promo.com IN CNAME .


ContexteSolution

Conclusion


Le DNS RPZ : Configurations

Non mais t’as deja vu ca ? En pleine presentation !Il chante et puis crac, 5 slides de configuration etde graphiques ! Il est completement fou ce mec.


ContexteSolution

Conclusion


Le DNS RPZ : les problemes

Blocage des DNS exterieurs obligatoires.Contournable par fichier host local (mais pas pratique).Contournable par VPN fonctionnant en pure IP (10-20contrevenants par jour).

Tor,Frozenway.

Beaucoup de tests avant que cela ne tombe en marche,Le DNS travaille beaucoup plus.Une meme requete DNS a quelle duree de vie ? combien deconnexions gere-t-elle ?


ContexteSolution

Conclusion


Le DNS RPZ : les avantages

Ultraportable (tout OS, tout materiel),Touche tous les protocoles,Permet l’utilisation de bases exterieures,La RPZ SPAMHAUS repere plus facilement des postesinfectes (2-3 par jour).


ContexteSolution

Conclusion


Le DNS RPZ : les chiffres

Sur les hors proxy10 000 blocages DNS par jour7 200 clients900 clients bloques

Par contraste sur les ”proxifies”4 200 clients179 clients bloques


ContexteSolution

Conclusion


Le DNS RPZ : les categories de blocage

Monsieur Prigent, vous faites sans doute autorite enmatiere de RPZ, Phishing et Honeypot, mais vosgouts pour les couleurs, je vous conseille de ne lesutiliser qu’en suppositoire. Voila ! Et encore, pourenfants.


ContexteSolution

Conclusion


Est-ce suffisant ?

Gestion de la bande passante par utilisateurPour contrebalancer l’ouverture de la bande passante auHTTPS.

Blocage IP des proxies de contournementPour eviter les VPNs purs IP.

Le CNAME (piege.ut-capitole.fr) doit etre convenablementinstalle

Avertir correctement les utilisateurs.Avertir eventuellement les administrateurs (malware, virus,etc.).Detecter les ports utilises.Eventuellement capturer le trafic.


ContexteSolution

Conclusion

Conclusion

Ca marcheLes utilisateurs sont contents : le wifi ”juste marche”.Le filtrage est plus large.

Malware avec un C&C non web.Clients ”hors web” (IRC, mail, etc.).

Notre proxy (transparent et standard) est conserve.Nous sommes prets pour le HTTP/2.0.

MaisLe DNSSEC risque de nous poser probleme.On est passe du traitement de l’URL a celui du domaine.Le contenu SSL n’est plus analyse (analysable ?)Le HTTPS deviendrait-il ”inspectable” ? (cf Yoann Juet)


ContexteSolution

Conclusion

Mais dis donc, on n’est quand meme pas venuspour beurrer les sandwichs !

C’est vrai ca. On en fait quoi de ton RPZ ?


ContexteSolution

Conclusion

Structuration pour les CROUS

Plusieurs schemas sont possibles :Mettre en DNS un DNS RPZ nationalMettre son resolver en forwarder vers le DNS CROUS national.Deployer en interne des RPZ recuperes sur le DNS national


ContexteSolution

Conclusion

DNS RPZ en national

Mettre en DNS un DNS RPZ nationalCharge tres importante du DNS national,SPOF national,On ne maitrise ni la politique, ni la reponse,On ne repere pas les postes infectes,On ne journalise pas en local les postes infectes.

MaisRien a gerer en local.


ContexteSolution

Conclusion

Forwarder

Mettre le DNS local en forwarder sur le DNS nationalCharge importante du DNS national,Parametrer le DNS en forwarder,On ne maitrise ni la politique, ni la reponse,SPOF national.

MaisConfiguration pas tres complexe (voir un simple dnsmasq !),Charge moins importante du DNS national (cache local),On peut reperer et journaliser les postes infectes.


ContexteSolution

Conclusion

DNS RPZ Local

Mettre un DNS RPZ en local :Configuration locale complexe.

MaisCharge tres reduite en national (uniquement les XFER),On maitrise la politique et la reponse,On peut reperer et journaliser les postes infectes.


ContexteSolution

Conclusion

Structuration CROUS Toulouse

Le CROUS Toulouse a la configuration suivante :response-policy {zone "rpz.warez.crous31";zone "exclude.rpz.crous31";zone "rpz.malware.ut1" policy cname .;zone "rpz.warez.ut1" policy cname .;zone "rpz.redirector.ut1" policy cname .;zone "rpz.adult.ut1" policy cname proxy-1.crous-toulouse.fr;};

Je ne demande pas a monsieur si monsieur sait s’enservir.


ContexteSolution

Conclusion

Merci de votre attention

Des questions ?

Faut r’connaıtre c’est du brutal !


RSSI CROUS : RPZ · RPZ externes (internalis´ees !), par exemple Spamhaus. 500 000 domaines. 150...

Documents

Transcript of RSSI CROUS : RPZ · RPZ externes (internalis´ees !), par exemple Spamhaus. 500 000 domaines. 150...