Sécurité Informatique

Vous recevez du spam….alors il est déjà trop tard, vous êtes dans la liste des spammeurs.

Vous n’en recevez pas encore et souhaitez ne pas en recevoir, alors vous pouvez utilisez une adresse jetable…

2 types sont disponibles :

• Une adresse temporaire accessible par un lien
• Une adresse temporaire qui effectue un transfert sur votre adresse existante

Pour le premier type, il existe  Temporary Inbox qui s’installe directement comme add-on pour Firefox.

Pour une adresse de type “forwarder”  il existe  jetable.org (en français) ou encore spamhole qui redirige les emails dans votre messagerie personnelle.

Le cahier des charges et le protocole de tests sont les suivants :

L’objectif est d’implémenter un NAC pour 2 utilisations particulières de mon entreprise :

• • Nos salles de conférences : nous accueillons régulièrement des conférences internationales, et nous offrons un accès Internet aux visiteurs via un wifi ou un accès filaire. Dans ce cadre, étant donné que ce sont des machines que nous ne maîtrisons pas dans un environnement partagé, nous souhaitons que les machines des visiteurs ne soient pas infectés par d’autres machines visiteurs.
  • Dans le réseau interne : une bonne partie du personnel est “nomade” et possède un portable qu’il vient brancher périodiquement sur le réseau interne. Nous souhaitons donc analyser la machine avant de la basculer sur le réseau interne. Ce sont des machines que nous maîtrisons, ie qui sont inscrites dans notre domaine Active Directory avec des certificats.

L’installation et la configuration de l’appliance Counteract s’est effectuée avec l’aide du fournisseur.

Etant déjà habitué au produit Forescout (nous avons un IPS ActiveScout depuis plus de 3 ans), j’ai retrouvé une interface d’administration très bien construite et relativement user-friendly.

La configuration de la machine est très rapide : Une IP de management avec les infos réseau habituelles, puis téléchargement de l’interface de management en https.

2 modes sont disponibles : un mode “Ecoute” et un mode “Interactif”.

Dans le mode Interactif, la sonde possède un port ethernet sur le(s) VLAN(s) à surveiller (possibilité de faire du trunking), et un port d’injection sur les VLANs où la sonde interagit.

La façon dont l’architecture du réseau est construite implique une réflexion sur le positionnement de la sonde (réflexion devant être faite quelque soit le système NAC à installer) : pour être pleinement opérationnelle, la sonde doit pouvoir observer tout le trafic entrant et sortant de la machine cible.

Nous possédons un réseau entièrement routé avec un découpement par VLAN et donc un sacré casse-tête pour effectuer une écoute du trafic. Qu’importe, la souplesse de la sonde Counteract permet de s’affranchir de ces obstacles.

Read the rest of this entry »

Le NAC ou Network Access Control permet d’identifier, analyser et compartimenter, suivant des règles établies, une machine se connectant sur un réseau d’entreprise.

Le terme NAC représente actuellement un concept plus qu’une définition.

On parle de NAC autant pour une simple authentification 802.1x que pour un contrôle d’intégrité de la machine associée à une authentification forte…etc…

A l’heure actuelle, pas de solution miracle : quelques standards ont été établis (comme le 802.1x), mais, malgré des annonces de rapprochement entre Cisco et Microsoft, on observe plutôt une guerre des constructeurs pour imposer leurs solutions.

Cependant, en attendant des solutions standardisées (à la fois côté réseau et côté OS), quelques constructeurs proposent des solutions intermédiaires et évolutives, permettant d’introduire dans les entreprises un NAC amélioré.

Pour les besoins de mon entreprise, je teste actuellement plusieurs solutions NAC dans un environnement de production, donc dans des conditions bien réelles.

Actuellement, 3 plateformes sont planifiées dans le test : CounterAct de Forescout, La solution proposée par Consentry, et le NAC Foundation Module proposé par Infoblox.

Le NAP de Microsoft impliquant des clients Microsoft Vista et des serveurs Windows 2008, une intégration dans l’entreprise n’est, à mon avis, pas envisagé à court ni à moyen terme.

La solution Cisco NAC Framework, implique une architecture Cisco (switches, routeur, radius…) avec un nombre relativement important de composants entrant en jeu pour parfaire le NAC. Et malgré notre architecture Cisco, nous ne testons pas cette solution, car relativement lourde à mettre en place et qui nécessite encore un peu de temps pour arriver à maturité.

A suivre : le test Counteract…

Si comme moi, vous avez des enfants qui utilisent Internet et souhaitez limiter l’accès aux sites “adultes”, voici une solution gratuite et très facile à mettre en place : BlueCoat K9 Web protection.

Bluecoat fournit des solutions professionnelles de cache et proxy pour l’industrie. A côté de cela, Bluecoat a développé une solution de contrôle parentale gratuite pour le particulier et très efficace.

Petit point faible : cette solution n’est disponible qu’en anglais, mais étant donné la simplicité d’utilisation, ça n’est pas vraiment un obstacle.

En cas d’accès à une page non autorisée, une redirection est effectuée sur la page suivante :

Read the rest of this entry »

• Les enregistrements SPF

Pourquoi un enregistrement SPF ?

Un enregistrement SPF est un enregistrement DNS type TXT qui renseigne sur les passerelles SMTP autorisées à envoyer des mails pour un domaine donné.

Ex : le domaine “domain.xyz” utilise la passerelle SMTP suivante “smtp.domain.xyz” pour envoyer ses emails, et uniquement celle-çi.

L’enregistrement SPF consiste à indiquer que seul smtp.domain.xyz envoie des emails avec pour expéditeur *@domain.xyz.

Cet enregistrement peut alors être utilisé par la passerelle de destination selon le schéma suivant :

• Réception sur smtp.cible.xyz d’un email envoyé par toto@domain.xyz
• smtp.cible.xyz interroge les DNS pour savoir si “domain.xyz” possède un enregistrement SPF (ce qui est le cas ici)
• L’enregistrement indique que cet email ne peut venir que de la machine smtp.domain.xyz
• Si c’est le cas, le mail est traité par la passerelle; dans le cas contraire le mail est rejeté.
• Si l’enregistrement SPF n’existe pas, le mail sera traité par la passerelle, mais peut-être avec des règles de filtrage plus strictes.

L’enregistrement SPF pour le domaine “domain.xyz” sera le suivant :

“v=spf1 a:smtp.domain.xyz ~all”

ou encore “v=spf1 mx ~all“

Dans le premier cas, on indique que seul (~all) le serveur smtp.domain.xyz envoie des emails venant du domaine “domain.xyz”.

Le deuxième cas, équivalent au premier, indique que seul le(s) serveur(s) enregistré(s) comme MX du domaine sont habilités à envoyer ces emails.

Vous pouvez consulter le site OpenSPF qui possède un wizard pour créer ses enregistrements SPF.

D’autres techniques similaires existent comme le SenderID de Microsoft ou le DKIM de Yahoo et Cisco, plutôt basé sur des certificats, mais ces systèmes sont plus lourds à mettre en place.

Point faible : ces systèmes sont efficaces seulement si tout le monde joue le jeu.

A suivre…

Bien configurer sa passerelle SMTP : les points à suivre.

J’occupe actuellement à un poste d’administrateur réseau où je gère aussi bien le réseau LAN WAN, la sécurité, ainsi que les passerelles SMTP (Routage SMTP, Filtrage virus et spams).

Les différents points expliqués par la suite sont ceux que j’applique dans la société pour laquelle je travaille.

Le flux mail représente environ 50′000 mails / jour pour environ 400 boîtes aux lettres.

Les enregistrements DNS

• Les MX Records

Un domaine doit posséder des MX records pour recevoir des emails : les MX records renseignent les serveurs distants sur quel hostname/IP envoyer les emails.

Admettons que le domaine soit “mydomain.xyz“, un enregistrement MX sera du type :

mydomain.xyz MX 10 smtp.mydomain.xyz

“10″ représente la priorité du serveur : admettons qu’il existe une 2ème passerelle SMTP, un enregistrement avec une priorité 20 indique qu’il est possible d’envoyer des emails vers cette passerelle, mais l’envoi doit se faire en priorité sur la passerelle d’un poids inférieur.

smtp.domain.xyz représente le hostname de la gateway SMTP du domaine. Evidemment, ce serveur doit avoir un enregistrement DNS type A, qui renseigne sur son adresse IP .

A savoir : la passerelle de priorité 20 recevra principalement du spam et très peu de mails utiles. Cela fait partie des techniques des spammeurs qui envoient sur les passerelles secondaires, car celles-ci sont parfois moins bien configurés ou un peu oubliés par l’administrateur.

• Le Reverse DNS

Toute passerelle SMTP doit posséder un enregistrement PTR permettant d’effectuer une vérification type ReverseDNS.

Exemple : Une gateway SMTP possède l’enregistrement type A suivant :

smtp.domain.xyz IN A 1.2.3.4

L’enregistrement PTR correspondant sera du type :

4.3.2.1.in-addr.arpa smtp.domain.xyz

Il est important et même nécessaire d’avoir un enregistrement PTR pour tout les serveurs MX.

Actuellement, mes systèmes sont configurés pour rejeter tout serveur ne possédant pas d’enregistrement PTR. Ceci pour la raison suivante : contrairement à l’administrateur d’un site légal, un spammeur utilisant des techniques de spoofing n’a pas la possibilité (administrative) d’enregistrer un PTR pour un domaine qu’il ne possède pas.

A suivre…

Quelles techniques pour combattre le spam ?

2 aspects doivent être pris en compte pour combattre efficacement le spam :

1. Une bonne configuration des passerelles SMTP pour l’envoi des message
2. Un différenciation efficace des mails utiles et des spams en réception

Ces 2 responsabilités appartiennent à l’administrateur de la messagerie.

Jusqu’à maintenant, le combat contre le spam s’est concentré sur le 2ème point : une recherche continue pour améliorer les moteurs de filtrage antispam.

Ces techniques vont de la “blacklist” au filtre bayesian en passant par l’empreinte mail…

Or actuellement, toutes ces techniques commencent à montrer leurs limites : tout en étant efficace, elles ne peuvent filtrer 100% du spam.

Pour arriver à ce résultat, une configuration efficace des passerelles SMTP est nécessaire : alors, le filtrage en réception devient très efficace, tout en nécessitant moins de ressources à la fois humaine et matérielle.

Le prochain article donnera quelques indications sur la bonne configuration des serveurs SMTP.