DIODE, un bilan globalement positif

Martin.Ouwehand@epfl.ch, SIC

http://ditwww.epfl.ch/SIC/SA/diode/ ) a été mis en place, le 4 juillet 2000, et c'est donc l'occasion de dresser un premier bilan. Comme les pirates ne prennent pas rendez-vous pour commettre leurs méfaits, il est bien sûr impossible de donner un taux de succès chiffré du système DIODE, mais on peut faire des comparaisons avec notre expérience passée. Avant DIODE, il y avait quotidiennement plusieurs scans du site par des pirates à la recherche de machines vulnérables et qui, 2 ou 3 fois par an, atteignaient leur but avec en conséquence des intrusions et des ordinateurs de l'EPFL qui passaient sous leur contrôle. Il y a eu par exemple de tels épisodes en octobre 1998 (exploitation d'une faiblesse dans le démon imapd), en avril 1999 (démon FTP wu-ftpd) et décembre 1999 (problème avec rpcbind). Rien de tel ne s'est produit à l'EPFL depuis le démarrage de DIODE, alors que selon divers échos nous parvenant d'autres institutions académiques suisses, les pirates n'ont pas cessé leurs activités, au contraire: récemment, le worm ramen ( voir http://www.cert.org/incident_notes/IN-2001-01.html ) a fait ici et là des dégats sur des machines Linux, mais on ne l'a pas signalé dans notre réseau. DIODE a en grande partie aussi résolu le problème des relais ouverts ( voir http://dit-archives.epfl.ch/FI99/fi-7-99/7-99-page1.html): s'il reste des serveurs de courrier électronique mal configurés de ce point de vue, DIODE empêche les spammers d'en tirer parti.

Prudence malgré tout !

Ceci ne veut pas dire qu'il n'y a eu aucun problème durant ces 6 mois. Par exemple, DIODE laissant passer tout le trafic Web (port 80), on a vu un cas de serveur IIS (Internet Information Server) piraté. D'autre part, DIODE ne protège pas du tout les machines laissées ouvertes à la demande de leur administrateur (voir http://ditwww.epfl.ch/SIC/SA/diode/FAQ.html#ouverture ) et il y a eu deux tels serveurs qui ont vu une explosion de leur trafic FTP (jusqu'à 50 Gbytes durant un week-end !) parce que le droit d'écriture par l'utilisateur anonymous était mal restreint. C'est donc l'occasion, une fois de plus, de souligner à quel point il est important que tout le monde, DIODE ou pas DIODE, applique ces directives de sécurité informatique: http://slwww.epfl.ch /securite.html et les administrateurs des machines ouvertes avec encore plus de soin ! Dans cette page figurent les informations et pointeurs qui auraient, par exemple, permis d'éviter les problèmes mentionnés (voir les points http:/ /slwww.epfl.ch/securite.html#httpa et http://slwww.epfl.ch /securite.html#ftpa).

Quatre mauvaises raisons d'ouvrir une machine

Il y a actuellement 284 machines ouvertes pour DIODE (241 pour l'EPFL proprement dite et 43 pour le PSE). Pour continuer à assurer le succès de DIODE dans le futur, il importe que ce nombre reste aussi bas que possible, pour deux raisons: d'une part chacune de ces machines représente une vulnérabilité potentielle dans notre réseau et d'autre part c'est une entrée supplémentaire dans la liste que le routeur à l'entrée du réseau de l'EPFL doit consulter pour chaque tentative de connexion qui arrive d'Internet (environ 800'000 par jour). Il importe donc qu'il y ait une bonne raison que ces machines soient ouvertes. A ce propos, nous aimerions attirer l'attention sur 4 particulièrement mauvaises raisons de demander l'ouverture DIODE d'une machine:

Tremplin.epfl.ch, proxy FTP et serveur SSH

Un élément de plus en plus important de DIODE est le serveur tremplin.epfl.ch, servant à la fois de proxy FTP (voir http://tremplin.epfl.ch/proxyftp/) et de serveur SSH (voir http://tremplin.epfl.ch/). Un résumé du dernier mois d'utilisation en chiffres: 169 utilisateurs actifs, 90 pour le proxy FTP et 105 pour SSH (26 utilisent donc les deux services). Il y a eu sur le proxy 1747 sessions, vers 118 serveurs FTP de l'EPFL et 31 hors EPFL. Quant à SSH, il y a eu 816 sessions pendant lesquelles ont été ouverts 5238 tunnels. Les cibles de ces tunnels dénotent une utilisation très variée, mais dans le hit-parade on retrouve 973 fois les News, 431 fois FTP et 147 fois telnet. Ce dernier chiffre est d'autant plus étonnant que le tunnel s'établit très souvent vers un serveur qui est aussi un serveur SSH (je rappelle que c'est le cas entre autre de la vaste majorité des ordinateurs SUN): il serait plus simple d'ouvrir directement une session interactive par SSH !


retour au sommaire du Flash informatique du mois de février 1
retour à la page principale des Flash informatique
Vos commentaires
© FI-2-1 du 27 février 1