RSSI CROUS : RPZ · RPZ externes (internalis´ees !), par exemple Spamhaus. 500 000 domaines. 150...
Transcript of RSSI CROUS : RPZ · RPZ externes (internalis´ees !), par exemple Spamhaus. 500 000 domaines. 150...
ContexteSolution
Conclusion
RSSI CROUS : RPZLes DNS flingueurs (avec de l’Audiard dedans)
Fabrice Prigent
Universite Toulouse 1 Capitole
Jeudi 23 Juin 2016
Fabrice Prigent RSSI CROUS : RPZ/ Jeudi 23 Juin 2016 1 / 31
ContexteSolution
ConclusionL’Universite Toulouse 1 CapitoleUne situation qui se degrade
Contexte technique
Bougez pas ! Les mains sur la table. Je vouspreviens qu’on a la puissance de feu d’un croiseur etdes flingues de concours.
Fabrice Prigent RSSI CROUS : RPZ/ Jeudi 23 Juin 2016 2 / 31
ContexteSolution
ConclusionL’Universite Toulouse 1 CapitoleUne situation qui se degrade
L’Universite Toulouse 1 Capitole : contexte technique
Les elements de securite ”standard” sont installesFirewall (Iptables),Regulation de bande passante (tc),IDS (Suricata),Proxy filtrant,transparent ou non (Squid + Squidguard),Journalisation des communications (Argus),Portail captif (univ-nautes),Antispam markovien couple a un antivirus (DSPAM, clamav”survitamine”),Eduroam.Honeypot
40 To de donnees echangees par mois.
Fabrice Prigent RSSI CROUS : RPZ/ Jeudi 23 Juin 2016 3 / 31
ContexteSolution
ConclusionL’Universite Toulouse 1 CapitoleUne situation qui se degrade
Une situation qui se degrade
70% de nos utilisateurs ne passent pas par les proxies, malgrele DHCP (wpad-url, code 252),le DNS (wpad, et wpad.ut-capitole.fr),la page d’accueil du portail captif,les affiches,les vacataires WiFi.
Mais ils connaissent pas Raoul, ces mecs ! ils vontavoir un reveil penible.
Fabrice Prigent RSSI CROUS : RPZ/ Jeudi 23 Juin 2016 4 / 31
ContexteSolution
ConclusionL’Universite Toulouse 1 CapitoleUne situation qui se degrade
Une situation qui se degrade
51% de requetes en SSL (meme chose en volume).Un proxy-cache qui peine a justifier son interet,Les 20 colloques annuels, avec leurs 200-1200 chercheursetrangers, deviennent une priorite.Des machines sur lesquelles on ne peut rien controler,Des malwares a ne plus savoir qu’en faire,Bref du BYOD.
Patricia, mon petit, Je ne voudrais pas te paraıtrevieux jeu ni encore moins grossier, L’adminsys,parfois rude, reste toujours courtois, mais la veritem’oblige a te le dire : ton BYOD commence a meles briser menu
Fabrice Prigent RSSI CROUS : RPZ/ Jeudi 23 Juin 2016 5 / 31
ContexteSolution
ConclusionL’Universite Toulouse 1 CapitoleUne situation qui se degrade
Les mises en quarantaine internes
Fabrice Prigent RSSI CROUS : RPZ/ Jeudi 23 Juin 2016 6 / 31
ContexteSolution
ConclusionL’Universite Toulouse 1 CapitoleUne situation qui se degrade
Mais l’IP ne suffit pas ?
nslookup www.playboy.com => g.global-ssl.fastly.netnslookup www.gov.uk => www-gov-uk.map.fastly.netnslookup www.france2.fr => w253.w5.akamai.netnslookup www.reddit.com => 198.41.208.* => whois => cloudflare
Seulement, maintenant, on a le droit pour nous (...)Legitime defense, avec moi ca pardonne pas.
Fabrice Prigent RSSI CROUS : RPZ/ Jeudi 23 Juin 2016 7 / 31
ContexteSolution
Conclusion
Les objectifsLes moyensLe principeAvantages / Inconvenients
Les objectifs
Plusieurs objectifsFaciliter l’utilisation de notre reseau.Rester agnostique sur les clients.Conserver un peu la securite.Continuer a loguer plus que l’IP.
Fabrice Prigent RSSI CROUS : RPZ/ Jeudi 23 Juin 2016 8 / 31
ContexteSolution
Conclusion
Les objectifsLes moyensLe principeAvantages / Inconvenients
Les moyens
Quelle information estindispensable a l’usage d’internet ?fournie par DHCP ?respectee, par defaut, par TOUS les clients ?manipulable a loisir ?
Allons vite messieurs, quelqu’un pourrait venir, onpourrait se meprendre, et on jaserait. Nous venonsdeja de froler l’incident.
Fabrice Prigent RSSI CROUS : RPZ/ Jeudi 23 Juin 2016 9 / 31
ContexteSolution
Conclusion
Les objectifsLes moyensLe principeAvantages / Inconvenients
Le DNS
Fabrice Prigent RSSI CROUS : RPZ/ Jeudi 23 Juin 2016 10 / 31
ContexteSolution
Conclusion
Les objectifsLes moyensLe principeAvantages / Inconvenients
Le DNS RPZ : le principe
Response Policy Zone.En bon francais : DNS menteur.Ment a une question DNS : ”Qui est www.playboy.com ?”
www.playboy.com n’existe pas.www.playboy.com est un CNAME de piege.ut-capitole.fr.
Mais ment aussi si la reponse ne lui convient paswww.playboy.com a pour IP 185.31.17.185
mais cette IP ne me convient pas,donc c’est en fait un CNAME de piege.ut-capitole.fr.
Le RPZ pour les tout petits :http://www.bortzmeyer.org/rpz-faire-mentir-resolveur-dns.html
Fabrice Prigent RSSI CROUS : RPZ/ Jeudi 23 Juin 2016 11 / 31
ContexteSolution
Conclusion
Les objectifsLes moyensLe principeAvantages / Inconvenients
Le DNS RPZ : les besoins techniques
Bind 9.8 minimum, mais 9.10 VRAIMENT preferable (9.9 enRHEL 7).
Possibilite d’exclure du RPZ des machines.Acceleration des recherches (Log(n) au lieu de (n)).Fichier de zone en mode raw (attention au format map !).
Des listes de domainesBlacklists habituelles transformees en zone DNS(malware,adult,proxies)RPZ externes (internalisees !), par exemple Spamhaus.
500 000 domaines.150 domaines ajoutes/enleves chaque 5 minutes.
Plus de memoire (2 Go).Plus de disque (Logs : 500 Ko compresses par minute).
Fabrice Prigent RSSI CROUS : RPZ/ Jeudi 23 Juin 2016 12 / 31
ContexteSolution
Conclusion
Les objectifsLes moyensLe principeAvantages / Inconvenients
Le DNS RPZ : les requetes
Fabrice Prigent RSSI CROUS : RPZ/ Jeudi 23 Juin 2016 13 / 31
ContexteSolution
Conclusion
Les objectifsLes moyensLe principeAvantages / Inconvenients
Le DNS RPZ : la charge cpu
Fabrice Prigent RSSI CROUS : RPZ/ Jeudi 23 Juin 2016 14 / 31
ContexteSolution
Conclusion
Les objectifsLes moyensLe principeAvantages / Inconvenients
Le DNS RPZ : la charge memoire
Fabrice Prigent RSSI CROUS : RPZ/ Jeudi 23 Juin 2016 15 / 31
ContexteSolution
Conclusion
Les objectifsLes moyensLe principeAvantages / Inconvenients
Le DNS RPZ : Configuration
zone "rpz.warez.ut1" {type master;masterfile-format raw;file "rpz.warez.raw";allow-query { none; };
};
zone "rpz.spamhaus.org" {type slave;file "rpz.spamhaus.org.db";masterfile-format raw;masters { 199.168.90.51; 199.168.90.52; 199.168.90.53; };
};
response-policy {zone "rpz-whitelist-spamhaus" policy passthru;zone "rpz.spamhaus.org" policy cname narfi.ut-capitole.fr;zone "rpz.malware.ut1" policy cname narfi.ut-capitole.fr;zone "rpz.warez.ut1" policy cname narfi.ut-capitole.fr;
};
Fabrice Prigent RSSI CROUS : RPZ/ Jeudi 23 Juin 2016 16 / 31
ContexteSolution
Conclusion
Les objectifsLes moyensLe principeAvantages / Inconvenients
Le DNS RPZ : Configuration d’une zone
$TTL 5M@ 1H IN SOA nonexistent.nodomain.none. hostmaster 1412036025 8H 2H 1W 2H@ IN NS nonexistent.nodomain.none.*.777port.li IN CNAME .777prime.com IN CNAME .*.777prime.com IN CNAME .777primegames.com IN CNAME .*.777primegames.com IN CNAME .777promo.com IN CNAME .*.777promo.com IN CNAME .
Fabrice Prigent RSSI CROUS : RPZ/ Jeudi 23 Juin 2016 17 / 31
ContexteSolution
Conclusion
Les objectifsLes moyensLe principeAvantages / Inconvenients
Le DNS RPZ : Configurations
Non mais t’as deja vu ca ? En pleine presentation !Il chante et puis crac, 5 slides de configuration etde graphiques ! Il est completement fou ce mec.
Fabrice Prigent RSSI CROUS : RPZ/ Jeudi 23 Juin 2016 18 / 31
ContexteSolution
Conclusion
Les objectifsLes moyensLe principeAvantages / Inconvenients
Le DNS RPZ : les problemes
Blocage des DNS exterieurs obligatoires.Contournable par fichier host local (mais pas pratique).Contournable par VPN fonctionnant en pure IP (10-20contrevenants par jour).
Tor,Frozenway.
Beaucoup de tests avant que cela ne tombe en marche,Le DNS travaille beaucoup plus.Une meme requete DNS a quelle duree de vie ? combien deconnexions gere-t-elle ?
Fabrice Prigent RSSI CROUS : RPZ/ Jeudi 23 Juin 2016 19 / 31
ContexteSolution
Conclusion
Les objectifsLes moyensLe principeAvantages / Inconvenients
Le DNS RPZ : les avantages
Ultraportable (tout OS, tout materiel),Touche tous les protocoles,Permet l’utilisation de bases exterieures,La RPZ SPAMHAUS repere plus facilement des postesinfectes (2-3 par jour).
Fabrice Prigent RSSI CROUS : RPZ/ Jeudi 23 Juin 2016 20 / 31
ContexteSolution
Conclusion
Les objectifsLes moyensLe principeAvantages / Inconvenients
Le DNS RPZ : les chiffres
Sur les hors proxy10 000 blocages DNS par jour7 200 clients900 clients bloques
Par contraste sur les ”proxifies”4 200 clients179 clients bloques
Fabrice Prigent RSSI CROUS : RPZ/ Jeudi 23 Juin 2016 21 / 31
ContexteSolution
Conclusion
Les objectifsLes moyensLe principeAvantages / Inconvenients
Le DNS RPZ : les categories de blocage
Monsieur Prigent, vous faites sans doute autorite enmatiere de RPZ, Phishing et Honeypot, mais vosgouts pour les couleurs, je vous conseille de ne lesutiliser qu’en suppositoire. Voila ! Et encore, pourenfants.
Fabrice Prigent RSSI CROUS : RPZ/ Jeudi 23 Juin 2016 22 / 31
ContexteSolution
Conclusion
Les objectifsLes moyensLe principeAvantages / Inconvenients
Est-ce suffisant ?
Gestion de la bande passante par utilisateurPour contrebalancer l’ouverture de la bande passante auHTTPS.
Blocage IP des proxies de contournementPour eviter les VPNs purs IP.
Le CNAME (piege.ut-capitole.fr) doit etre convenablementinstalle
Avertir correctement les utilisateurs.Avertir eventuellement les administrateurs (malware, virus,etc.).Detecter les ports utilises.Eventuellement capturer le trafic.
Fabrice Prigent RSSI CROUS : RPZ/ Jeudi 23 Juin 2016 23 / 31
ContexteSolution
Conclusion
Conclusion
Ca marcheLes utilisateurs sont contents : le wifi ”juste marche”.Le filtrage est plus large.
Malware avec un C&C non web.Clients ”hors web” (IRC, mail, etc.).
Notre proxy (transparent et standard) est conserve.Nous sommes prets pour le HTTP/2.0.
MaisLe DNSSEC risque de nous poser probleme.On est passe du traitement de l’URL a celui du domaine.Le contenu SSL n’est plus analyse (analysable ?)Le HTTPS deviendrait-il ”inspectable” ? (cf Yoann Juet)
Fabrice Prigent RSSI CROUS : RPZ/ Jeudi 23 Juin 2016 24 / 31
ContexteSolution
Conclusion
Mais dis donc, on n’est quand meme pas venuspour beurrer les sandwichs !
C’est vrai ca. On en fait quoi de ton RPZ ?
Fabrice Prigent RSSI CROUS : RPZ/ Jeudi 23 Juin 2016 25 / 31
ContexteSolution
Conclusion
Structuration pour les CROUS
Plusieurs schemas sont possibles :Mettre en DNS un DNS RPZ nationalMettre son resolver en forwarder vers le DNS CROUS national.Deployer en interne des RPZ recuperes sur le DNS national
Fabrice Prigent RSSI CROUS : RPZ/ Jeudi 23 Juin 2016 26 / 31
ContexteSolution
Conclusion
DNS RPZ en national
Mettre en DNS un DNS RPZ nationalCharge tres importante du DNS national,SPOF national,On ne maitrise ni la politique, ni la reponse,On ne repere pas les postes infectes,On ne journalise pas en local les postes infectes.
MaisRien a gerer en local.
Fabrice Prigent RSSI CROUS : RPZ/ Jeudi 23 Juin 2016 27 / 31
ContexteSolution
Conclusion
Forwarder
Mettre le DNS local en forwarder sur le DNS nationalCharge importante du DNS national,Parametrer le DNS en forwarder,On ne maitrise ni la politique, ni la reponse,SPOF national.
MaisConfiguration pas tres complexe (voir un simple dnsmasq !),Charge moins importante du DNS national (cache local),On peut reperer et journaliser les postes infectes.
Fabrice Prigent RSSI CROUS : RPZ/ Jeudi 23 Juin 2016 28 / 31
ContexteSolution
Conclusion
DNS RPZ Local
Mettre un DNS RPZ en local :Configuration locale complexe.
MaisCharge tres reduite en national (uniquement les XFER),On maitrise la politique et la reponse,On peut reperer et journaliser les postes infectes.
Fabrice Prigent RSSI CROUS : RPZ/ Jeudi 23 Juin 2016 29 / 31
ContexteSolution
Conclusion
Structuration CROUS Toulouse
Le CROUS Toulouse a la configuration suivante :response-policy {zone "rpz.warez.crous31";zone "exclude.rpz.crous31";zone "rpz.malware.ut1" policy cname .;zone "rpz.warez.ut1" policy cname .;zone "rpz.redirector.ut1" policy cname .;zone "rpz.adult.ut1" policy cname proxy-1.crous-toulouse.fr;};
Je ne demande pas a monsieur si monsieur sait s’enservir.
Fabrice Prigent RSSI CROUS : RPZ/ Jeudi 23 Juin 2016 30 / 31
ContexteSolution
Conclusion
Merci de votre attention
Des questions ?
Faut r’connaıtre c’est du brutal !
Fabrice Prigent RSSI CROUS : RPZ/ Jeudi 23 Juin 2016 31 / 31