Formation A2IMP

Principes de base en administration

La Grande Motte – 12 et 13/09/2006

Denis PUGNÈRE – IPNL / IN2P3 - <d.pugnere@ipnl.in2p3.fr>

Form at ion A2IMP – Rap p els en ad m in is t rat ion 2

Som m aire

• Synchronisation des systèmes

• Centralisation des traces

• Organisation des espaces de sauvegarde

Form at ion A2IMP – Rap p els en ad m in is t rat ion 3

Syn ch ron isa tion

• Les horloges internes des machines (serveurs, PC...) ne sont pas fiables => dérive dans le temps

• Il existe des références précises :– Radio : émetteurs de France Inter à Allouis, norme DCF77

à Mainflingen), – GPS– Accessibles via le réseau : Protocole ntp (RFC 1305)

• 1 milliseconde < Précision < quelques 10èmes de millisecondes

• Liste : http://www.cru.fr/NTP/serveurs_francais.html

• Accessibles librement ou soumis à déclaration ou autorisation d'utilisation

Form at ion A2IMP – Rap p els en ad m in is t rat ion 4

Qu oi et com m en t syn ch ron iser ?

• Tout, par ordre de priorité :– Serveurs et matériels réseau– Postes clients

• Exemple : utiliser le protocole NTP diffusé sur le réseau :– Serveurs références, hiérarchisés (strates)– Paquets de type UDP, port distant n° 123– Peut être re-diffusé sur le réseau local par un serveur NTP

local

Form at ion A2IMP – Rap p els en ad m in is t rat ion 5

Syn ch ron isa tion d 'u n rou teu r

• Certains routeurs peuvent être à la fois client NTP et serveur

• Ils peuvent diffuser en broadcast local les annonces NTP

• Exemple CISCO :

interface Vlan1description vlan laboip address 192.168.0.1 255.255.255.0

! diffusion en broadcast ntpntp broadcast destination 192.168.0.255

!! notre serveur ntp de reference est krishna.via.ecp.frntp server 138.195.130.71

Form at ion A2IMP – Rap p els en ad m in is t rat ion 6

Syn ch ron isa tion Un ix

• Le package ntp contient un fichier ntp.conf et un fichier ntp.drift

• Exemple du fichier /etc/ntp.conf:

• Puis redémarrer le service ntp

driftfile /var/lib/ntp/ntp.drift

server 0.fr.pool.ntp.orgserver 1.fr.pool.ntp.orgserver 2.fr.pool.ntp.org

Form at ion A2IMP – Rap p els en ad m in is t rat ion 7

Syn ch ron isa tion Win dow s

• Nativement, sous Windows NT/2000/XP– Configuration : net time /setsntp:138.195.130.71

– Vérification : net time /querysntp– Démarrer le service horloge de Windows :

net start w32time

– Ou, dans le panneau services : choisir le service « Horloge windows » et démarrage automatique

http://www.microsoft.com/windows2000/techinfo/howitworks/security/wintimeserv.asp

• Application tierce : http://nettime.sourceforge.net/

Form at ion A2IMP – Rap p els en ad m in is t rat ion 8

Les logs

– Capturer et enregistrer les évènements significatifs– Souvent répartis :

• par système : windows (format propriétaire interne),

• Application/service : serveur web (apache, IIS, Active Directory, contrôle d'accès

– Hétérogènes : • En format (cisco IOS, cisco PIX, iptables, ipchains, pf, ipfilter...)

• Type : évènements mélangés : type ALERT, INFO

– Sur serveurs, postes clients

Form at ion A2IMP – Rap p els en ad m in is t rat ion 9

Les logs sou s MS- Win dow s

– 3 catégories : • Applications

• Système

• Sécurité

– Description des événements : http://www.microsoft.com/technet/support/ee/ee_advanced.aspx

http://www.eventid.net/search.asp

– Il est possible de les exporter vers un serveur SYSLOG

http://www.intersectalliance.com/projects/SnareWindows/index.html

http://www.kiwisyslog.com/info_sysloggen.htm

http://ntsyslog.sourceforge.net/

Form at ion A2IMP – Rap p els en ad m in is t rat ion 10

Les logs sou s Un ix

– Gestion des logs sous unix généralement confiée au package syslog

– Extrait d'un fichier de configuration : /etc/syslog.conf

– Certaines application enregistrent directement les logs dans le répertoire /var/log (exemple : apache, squid)

– La rotation des logs peut être assurée par un package (exemple : logrotate) ou géré directement par l'application

# Log anything (except mail) of level info or higher.# Don't log private authentication messages!*.info;kern.!=info;mail.none;authpriv.none;cron.none;kern.none /var/log/messages# The authpriv file has restricted access.authpriv.* /var/log/secure# Log all the mail messages in one place.mail.* -/var/log/maillog# iptables pour voir tous les paquets stoppes et loggueskern.=info /var/log/iptables

Form at ion A2IMP – Rap p els en ad m in is t rat ion 11

Cen tralisa tion des traces

– Technique qui consiste à ce que chaque élément actif d'un système d'information envoie ses journaux à un système dédié qui les réceptionne et les enregistre.

– Avantages recherchés : • Pérénité : en rapport avec la législation en vigueur

• Intégrité : localisation différente de la source

• Corrélation : facilité apportée par la centralisation

– Grâce à la centralisation des logs et aux post-traitements rendus possibles

Form at ion A2IMP – Rap p els en ad m in is t rat ion 12

Valeu r a jou tée

– IDS (Systèmes de détection d'intrusion) : • Réseau : Snort...

• Hybride (réseau et système) : prelude-ids...

• Systèmes : – Surveillance des fichiers journaux : logcheck, logwatch, swatch,

OSSEC...

– Contrôles d'intégrité des fichiers : tripwire, samhain, AIDE

– Détection de comportements douteux : portsentry, scanlogd, lids, systrace...

– Traitement de logs de pare-feux (detescan, anapirate, fwlogwatch...)

– Alertes, visualisation– Archivage

Form at ion A2IMP – Rap p els en ad m in is t rat ion 13

Exem ple cen tralisa tion : u n ix

• Iptables client :

• Unix client : ce client envoie tous les logs à la machine loghost.labo.fr. Extrait du fichier /etc/syslog.conf

...*.* @loghost.labo.fr...

# connexions deja etablies-A RH-Firewall-1-INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT# ssh-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT# http apache-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT# on loggue le reste-A RH-Firewall-1-INPUT -j LOG --log-level info-A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited

Form at ion A2IMP – Rap p els en ad m in is t rat ion 14

Exem ple cen tralisa tion : cisco

– Les routeurs et switchs implémentent un client syslog– Capacité à envoyer des logs sur plusieurs evennements :

• État des interfaces

• Connexions au routeur lui même (configuration)

• Violation de la politique de filtrage :

logging trap debugginglogging facility local5! envoie des logs sur loghost.labo.frlogging 192.168.1.20

!service de la passerelle (ssh) : on loggueaccess-list 101 permit tcp any host 192.168.1.200 eq 22 log!service du serveur web : on loggue pasaccess-list 101 permit tcp any host 192.168.1.100 eq 80! puis en entree : TOUT LE RESTE EST BLOQUEaccess-list 101 deny tcp any any logaccess-list 101 deny udp any any log

Form at ion A2IMP – Rap p els en ad m in is t rat ion 15

Syslog serveu r

• Serveur– Syslog :

• lancer le daemon avec l'option -r

• Ouvrir le filtre de paquets pour laisser passer le 514/UDP

– Syslog-ng[1] : évolution de syslog• Optimisé pour traiter un grand nombre de clients

• Possibilité de tri sur le contenu des messages

• Possibilité de rediriger les messages

• Protocoles 514/TCP et 514/UDP utilisés

• Possibilité de mise en cage

[1] : voir présentation de F.Bongat : syslog-ng de 02/2005

Form at ion A2IMP – Rap p els en ad m in is t rat ion 16

Plan de reprise su r in ciden t

– Il se peut que les CD utilisés pour l'installation système ne permettent pas toujours de redémarrer les serveurs ou d'accéder au volume de stockage :

• Ajout de contrôleurs additionnels

• Suites à des mises à jour systèmes, firmware...

– Il est important d'avoir à disposition une boite à outil testée permettant de s'affranchir de ce type de problèmes

– Cela fait partie de la gestion de sinistre (crash disque, panne serveur, piratage...)

– Cela constitue un « plan de reprise après sinistre »– But recherché :

Reprise après incident (la plus courte et la plus sereine possible)