Securite Linux

Principes du Proxying

Installation de Squid

Configuration du serveur cache

Configuration du proxy

Configurations avancées

Lorsqu’un navigateur web veut accéder à une page web, il établit une liaison vers le serveur puis télécharge son contenu:

Serveur cache: dans un réseau local, il se peut qu’une page Internet soit consultée et téléchargée plusieurs fois par jour. La bande passant n’est donc pas optimisée. Un serveur cache peut stocker cette page sur un serveur, réduisant ainsi la bande passante.

Serveur proxy (ou serveur mandataire) : un proxy est une machine servant d’intermédiaire entre les machines d’un réseau local et Internet. Elle assure un rôle de protection en pouvant interdire un site par exemple. Ce serveur proxy peut faire aussi serveur cache.

Le serveur proxy – cache permet:

Réduire l’usage de la bande passante

Ouvrir Internet aux machines situées derrières un Pare-feu

Restreindre les ressources Webs

Contrôler l’utilisation

Les documents qui sont stockés dans un cache y demeurent en fonctions de plusieurs paramètres:

Date d’expiration: durée de vie (selon date de modification)

Fréquence d’utilisation

Du type (images, textes,…)

Squid est un logiciel qui part du principe, que dans un même lieu les gens vont souvent voir les mêmes choses sur Internet. Il est donc judicieux d’éviter de télécharger plusieurs fois une même ressource web. Squid est LE serveur proxy-cache le plus répandu (universités, entreprises, FAI, domaine scolaire public,… l’utilisent). Squid gère les protocoles HTTP, FTP et SSL. Il peut donc interdire l’accès à des ressources HTTP, HTTPS et FTP mais ne peut être en cache que des objets HTTP et FTP. Installation Squid ne demande aucune dépendance particulière, à l’exception d’OpenSSL pour les ressources utilisant SSL (HTTPS) et les librairies associés aux systèmes d’authentification optionnelle (comme OpenLDAP, PAM,…) | root@localhost # apt-get install squid Installation de Squid Agilis - « La sécurité sous Linux» © 2008 web : http://www.agilis.fr  Centre de formation  langues  bureautique  Internet  services informatiques et réseaux

Le fichier de configuration de Squid se situe dans /etc/squid/squid.conf sous Debian. Configuration du serveur-cache

Exemple:

Adresses de type : 192.168.0.x

Adresse du serveur proxy : 192.168.0.1

Nom du serveur proxy : debian1337

Port d'écoute de Squid : 3128.

Ouvrons notre fichier /etc/squid/squid.conf et comparons-le avec la page suivante. Agilis - « La sécurité sous Linux» © 2008 web : http://www.agilis.fr  Centre de formation  langues  bureautique  Internet  services informatiques et réseaux

Configuration du serveur-cache http_port 3128 # Port sur lequel travaille Squid – 3128 par défaut cache_mem 64 MB # Mémoire que l’on alloue à Squid, valeur par défaut à 8Mb Cache_mgr tcapaldi@agilis.fr # Email de l’administrateur cache_dir ufs /var/spool/squid 200 16 256 # Indique les répertoires devant accueillir les objets, son type, la taille disque, le nombre de répertoires de premier et de second niveau pour le stockage (ici 200Mo de cache) access_log /var/log/squid/access.log # Indique à quel endroit stocker le fichier log des requêtes cache_log /var/log/squid/cache.log # Log de Squid cache_store_log none # Pour ne pas enregistrer les logs d’écritures et d’effacement des objets # Configuration des dates d’expiration et de rafraîchissement des objets du cache. Objet: type de l’objet dont vous voulez configurer le rafraîchissement. Min: temps en minute durant lequel un objet est considéré comme à jour. Pourcent: pourcent de l’âge de l’objet, temps depuis la dernière modif. #option objet min pourcent max refresh_pattern ^ftp 1440 20% 10080 … # On renseigne l'utilisateur et le groupe qui initialise Squid : # cache_effective_user proxy cache_effective_group proxy # On renseigner le nom de machine qui fait serveur visible_hostname debian1337 Agilis - « La sécurité sous Linux» © 2008 web : http://www.agilis.fr  Centre de formation  langues  bureautique  Internet  services informatiques et réseaux

ACL : Pour restreindre l’accès à certaines ressources web et limiter l’utilisation d’Internet par certains utilisateurs de votre réseau, Squid utilise des ACL (Access Control List). Une ACL se déclare de la manière suivante:

Acl « nom » « type » « valeurs »

nom : correspond au nom que vous voulez attribuer à votre ACL

type: correspond à un type d’élément que l’ACL doit vérifier, entre autre:

Src : Adresse IP du client

Dts: Adresse IP du serveur

SrcDomain: Nom de domaine du client

DstDomain: Nom de domaine du serveur

Time: Heure du jour et jour de la semaine

url_regex: Reged d’URL

Urlpath_regex: Ensemble d’URL sans protocole et nom d’hôte

proxy_auth: type d’authentification d’un utilisateur

maxconn: nombre max de connexions pour une adresse IP cliente

proto: Type de contrôle

valeur : contient des valeurs associés au « type »

Syntaxe: http_acces « allow deny » acl_nom # Interdire à certaines ressources d’être mise en cache comme les scripts,… No_cache deny acl_nom Voici quelques exemples pour mieux comprendre comment utiliser ces ACL: Acl clienst src 192.168.0.1 192.168.0.2 http_access allow clients http_access deny !clients # Seules les machines 192.168.0.1 et 0.2 ont accès à Internet et les autres (!clients) non. Acl clients src 192.168.0.0 /255.255.255.0 Acl temps time MTWHF 13:00-14:00 http_access deny clients http_access allow clients temps # Les clients du réseau 192.168.0.0 peuvent accéder à Internet du Lundi au Vendredi de 13h à 14h. Acl ftp proto FTP http_access deny ftp # On interdit le protocole ftp Configuration du proxy Agilis - « La sécurité sous Linux» © 2008 web : http://www.agilis.fr  Centre de formation  langues  bureautique  Internet  services informatiques et réseaux

Les ACL pour les ports L’ordre des ACL dans le fichier de config est très importante. acl all src 0.0.0.0/0.0.0.0 acl localhost src 127.0.0.1/255.255.255.255 acl manager proto cache_object acl serveur src 192.168.2.100 acl SSL_ports port 443 563 # https acl Safe_ports port 80 # http acl Safe_ports port 20 # ftp-data acl Safe_ports port 21 # ftp (…) acl Safe_ports port 6892 # Amsn On rejette tous les ports différents de ceux déclarer dans les acl: http_access deny !Safe_ports http_access deny CONNECT !SSL_ports Configuration du proxy Agilis - « La sécurité sous Linux» © 2008 web : http://www.agilis.fr  Centre de formation  langues  bureautique  Internet  services informatiques et réseaux

Filtrage URL ACL de limitation des ressources Web : Acl clients src 192.168.0.0/255.255.255.0 Acl sites url_regex http:// www.yahoo.fr http:// www.hotmail.com http_access allow clients sites # Les clients du réseau 192.168.0.0 ne peuvent qu’accéder aux sites de l’ACL sites. Notez l’utilisation de regex Pour éviter d’écrire tous les sites manuellement, nous pouvons lire un fichier texte afin de récupérer les sites (« blacklist »). Pour une gestion plus pratique des « blacklist », le mieux est de créer plusieurs fichiers textes différents selon la nature: nom de domaine, url, adresse IP, mots clefs,…à bloquer. Exemple pour les domaines : Mettre un domaine par ligne dans le fichier texte que l’on nommera « baddomain » dans /etc/squid: .microsoft.com .agilis.fr acl clients src 192.168.0.0/24 acl domain dstdomain -i "/etc/squid/baddomain" http_access deny domain http_access allow clients # attention à l’odre Refuser l'accès aux extensions suivantes : acl url_mp3 url_regex -i .mp3$ http_access deny url_mp3 Configuration du proxy Agilis - « La sécurité sous Linux» © 2008 web : http://www.agilis.fr  Centre de formation  langues  bureautique  Internet  services informatiques et réseaux

Pages d’erreurs personnalisées : Configuration du proxy Agilis - « La sécurité sous Linux» © 2008 Pour personnaliser vos erreurs, rien de plus simple: acl porn dstdomain –i « /etc/squid/baddomain » deny_info ERR_NO_PORN porn http_access deny porn Il faudra ensuite créer un fichier ERR_NO_PORN (format html) dans le dossier d’erreur de Squid: /usr/share/squid/errors/english Si vous voulez mettre vos erreurs en français, ainsi que tous vos pages d’erreurs perso en français, il faudra changer dans le squid.conf, la ligne suivante: Error_directory /usr/share/squid/errors/French web : http://www.agilis.fr  Centre de formation  langues  bureautique  Internet  services informatiques et réseaux

Proxy transparent: Plutôt que de configurer chaque navigateur web pour utiliser le proxy, nous allons configurer ce dernier pour qu’il soit utilisé pour chaque client de façon permanente (dans ce mode, Squid ne gère plus HTTPS). Pour cela il suffit de définir une règle iptables NAT de translation permettant de rediriger toutes les connexions à destination du port 80 vers le port 3128 du proxy: | root@localhost # iptables –t nat –A PREROUTING –i eth0 –p tcp --dport 80 –j REDIRECT --to–port 3128 (n’oubliez pas de modifier le fichier squid.conf et mettre « httpd_accel_no_pmtu_disc on » Démarrer le proxy: On peut démarrer Squid en lui passant des commandes sur la ligne de commande #/etc/init.d/squid start. Les options passées en paramètre remplacent ceux du fichier de configuration de Squid.conf: Configurations avancées Agilis - « La sécurité sous Linux» © 2008 web : http://www.agilis.fr  Centre de formation  langues  bureautique  Internet  services informatiques et réseaux

Application

Paramétrage de Squid

C’est à vous, utilisez toutes les données fournies pour que mon ordinateur portable ne puisse pas accéder à votre Site Web (celui que nous avons installé sous Apache), et m’affiche une page erreur personnel.

…………………………………………………………………………………………………………

…………………………………………………………………………………………………………

…………………………………………………………………………………………………………

…………………………………………………………………………………………………………

Passons maintenant sur Internet. Je vais mettre l’adresse du proxy en dur dans mon navigateur dans un premier tems. Interdisez moi le site www.yahoo.fr, le domaine gouv.fr. et les fichiers .mp3

…………………………………………………………………………………………………………

…………………………………………………………………………………………………………

…………………………………………………………………………………………………………

…………………………………………………………………………………………………………

La sécurité sur nos ordinateurs ne se limite plus au fait de posséder un antivirus. Par cette voie de communication grande ouverte entre votre PC et le reste du monde, les possibilités de piratage deviennent très importantes et le problème de la sécurité de vos données devient de plus en plus crucial. Un firewall, en bon français coupe-feu ou pare-feu, va vous permettre de contrôler et de filtrer l’accès entre votre ordinateur et Internet.. Voici l’architecture du TP n°5 :

Notions de Firewall et de NAT

Introduction à Netfilter et Iptables

Sécurisation via Iptables

Enregistrement des règles

Linux – Administration système et réseau

SUPINFO – Laboratoire des technologies Linux – 2 ème édition - DUNOD

http://www.labo-linux.com

La base de connaissances de SupInfo

Certifications Linux

L’aide en ligne des forums et Wiki Fedora / Debian

Le Support technique d’Agilis

http://www.commentcamarche.net

http://www.ac-creteil.fr

http://linuxfr.org

Travaux Pratique personnels présentés au BTS Informatique

Merci pour votre attention ! http://www.agilis.fr Intervenant Thomas CAPALDI [email_address] Ingénieur Réseau Agilis - « La sécurité sous Linux» © 2008 web : http://www.agilis.fr  Centre de formation  langues  bureautique  Internet  services informatiques et réseaux