Discussion :

[Invité]

Bonjour à tous,

Je me permets de vous contacter pour solliciter votre aide.

La problématique est la suivante:

Je dois mettre en place un système empêchant un intrus de s'installer sur le réseau (jusque là tout va bien), il faut pour cela que je mette soit un service qui empêche l'intrus d'avoir une adresse IP (authentification par ex), soit un service qui permet de fermet le port d'un commutateur dès qu'il y a un intrus (à l'aide d'une clé peut être). Cependant je ne peux pas mettre de système d'authentification (login/mdp) car l'entreprise dans laquelle je travaille possède plusieurs sites qui ont leur propre sécurité, et on ne peut pas gérer les personnes qui arrivent d'autres sites dans le notre. Ensuite, je ne peux pas faire un système d'authentification par adresse MAC, car c'est le même problème que précédemment, on ne connaît pas l'adresse MAC d'une personne qui arrive d'un autre site avec son PC portable.

J'ai essayé de faire cette détection d'intrusion grâce à l'outil de supervision Nagios mais cela n'a pas été concluant.

Il faut savoir que l'entreprise (tous sites confondus), possède un master, chaque station possède ce master avec par exemple la même clé de registre (ce qui peut être une solution pour la détection d'intrusion, je suppose ?)

Avez-vous des solutions afin de détecter les intrus, et les avez-vous déjà mise en place ? Est-ce qu'il faut passer par du scripting, par des IDS ?

Je vous remercie d'avance pour votre aide

[messinese]

Bonjour,

c'est plutot confus tout ça .. On a un mélange de nagios/ids/fermeture de port d'un commut' (WTF?) et j'en passe !

Donc reprenons: tu aimerais, si j'ai bien compris authentifier des personnes venant de sites divers sans annuaire LDAP (plusieurs sites ça n'est absolument pas un soucis pour cela m'enfin admettons).

Tu as plusieurs solution mais a mon humble avis un système de jetons à la Kerberos ou de certificats me paraissent plus adaptés mais encore faut-il que j'ai bien compris ce que tu souhaites faire ....

Quand aux adresses MAC c'est clairement pas envisageable en matière de sécurité ;-) , idem pour la clé de registre.

A bientôt.

[Invité]

Oui pardon, j'ai essayé d'expliquer la situation avec toutes les solutions pensées, mais ça fait un joli merdier.

Ce que je veux, c'est que tout le monde de l'entreprise (notre site + les autres) puissent aller sur le réseau de notre site, sans avoir à s'authentifier (trop de mdp, blablabla: comportements humains).

Comme tu l'as proposé, j'avais pensé aussi à l'authentification par certificats avec Radius, mais ce qui m'interpelle, c'est est-ce que l'intrus ne pourrait-il pas non plus créer un certificat client et s'identifier tranquillement ?

Je vais regarder du côté du système de jetons.

Pourquoi la clé de registre n'est pas envisageable ? Elle est unique sur le réseau, chaque station l'a, donc normalement ça devrait pouvoir fonctionner. Cela se vole facilement ?

Hey oui, je compte bien fermer administrativement le port du commutateur sur lequel le pirate a tenté de s'introduire, mais ça, c'est une autre histoire.

[messinese]

Re,

En ce qui concerne les certifs' Radius regarde ceci, tu verra que ce n'est pas si simple de se fabriquer son petit certif' ;-) .
Pour la clé de registre ce n'est pas sécure dans le sens ou une clé ça se créé facilement si l'ataquant sait quelle clé créer .

Tu me dira oui mais s'il est pas de la boite il ne la connaitra pas mais c'est ici qu'interviendra Wireshark et c'est le drame...

Cdlt.

[Invité]

Ah mince, je ne savais pas que les clés de registre passaient en clair sur le réseau, c'est mal ça !

Oui, le certificat, cela pourrait me faire perdre quelques cheveux. Mais après, je n'ai pas beaucoup d'idées sur les possibilités d'intercepter un intrus.

Après, peut être que certaines entreprises possèdent des outils (chers, j'imagine) afin de faire cela.

Sinon, il y a la possibilité du scripting avec l'aide de nmap, mais là je m'embarque dans quelque chose que je ne connais pas énormément.

[messinese]

Ben c'est surtout que oui tu peux scripter meme sans employer nmap si c'est juste pour de l'host discovery ( une socket , une boucle for et c'est parti ) mais aprés ?

Tu va juste voir un intru mais pas plus donc ça ne t'avanceras pas plus..

Le système de certif' c'est l'idéal certes plus complexe mais bien plus éfficace, tu dois d'ailleurs pouvoir trouver des procédures sur le net .

Tu n'as pas spécifier: c'est pour du réseau filaire ou du wifi ?

[Invité]

Il existe des scripts pour bloquer le port d'un commutateur lorsque l'adresse MAC (avec les MIBs) ou le nom de l'ordinateur n'est pas autorisé. Mais c'est facile à usurper.

Je vais tenter de comprendre la notion de certificat. Par contre, les certificats clients sont à mettre sur la machine cliente ou elle peut être crée sur la machine serveur, et dès la connexion du client, ce dernier récupère son certif ?

[Invité]

Ah et c'est un réseau filaire

[messinese]

Salut,

dans ce cas si j'étais à ta place je passerai par Kerberos, c'est probablement le mieux adapté et le plus simple à faire.


Au pire oui, tu peux faire en sorte de les users récupèrent les certifs à la premiere connexion mais je sais pas trop comment faudrait chercher sur le net.

Cela dis, si tu choisis Kerberos alors la parcontre oui, je pourrais (et d'autre aussi) t'aider plus facilement mais il y aura forcément la contrainte du mot de passe hélas...

Aprés tu peux jeter un oeil sur les système d'authentification forte mais en as tu un réel besoin ou est-ce que c'est tuer une mouche au bazooka ...?

A réfléchir .

Cdlt.

[Invité]

Salut,

Si j'utilise Kerberos, il n'y aurait pas moyen de coupler cela avec un annuaire LDAP ? Car dans l'entreprise, il y a déjà un annuaire LDAP qui permet de s'authentifier sur nos machines.

[messinese]

Si si bien entendu pas de soucis, du coups les passwords seraient identiques à ceux qu'ils connaissent donc ça devrait pouvoir aller pour eux .

[Invité]

Je vais me renseigner un petit peu plus sur Kerberos, merci de ton aide messinese.

Je reviendrai si j'ai des problèmes avec Kerberos.