FLASH INFORMATIQUE FI



Pourquoi l’idée saugrenue de construire un réseau de quarantaine nous est-elle venue et comment l’avons nous réalisée ?




Richard TIMSIT


A la fin du mois de juillet 2003 nous nous sommes trouvés dans une situation bien embarrassante. Des centaines de machines porteuses du ver de la famille Lovsan (http://vil.nai.com/vil/content/v_100552.htm) manifestaient une activité sur le réseau qu’il était impossible de tolérer. Cependant, aucune des mesures que nous pouvions prendre n’était satisfaisante.
• Couper la machine du réseau, privait son administrateur de tous les moyens mis à disposition pour la réparer (nous ne fournissions pas de CD car la version d’antivirus changeait de jour en jour).
• Interdire seulement l’accès à Internet pour permettre la réparation sur Intranet -solution adoptée- présentait l’inconvénient de laisser la machine polluer l’Intranet.
C’est dans le souci de trouver une alternative à ces deux solutions décevantes que l’idée d’un réseau de quarantaine a germé et que nous l’avons réalisée.

Principe de la solution

Nous basculons dans ce réseau toute machine nécessitant d’être isolée d’EPNET (Intranet EPFL) et/ou d’Internet et nous nous donnons du même coup les moyens :
• d’avertir l’utilisateur de la machine,
• de mettre à sa disposition les outils de diagnostic et de réparation
• d’offrir une solution pratique de rétablissement sur EPNET


Portrait robot de la solution 

Les réseaux de campus ou d’entreprise sont aujourd’hui entièrement construits à l’aide de réseaux virtuels (Vlan) si bien que fabriquer le réseau de quarantaine en faisant basculer les machines à isoler dans un tel Vlan s’est imposé naturellement comme le principe de la solution. En effet une machine est reliée à un port d’un équipement actif du réseau (un switch) et chaque port de cet équipement est associé à un Vlan. Ce dernier est choisi en fonction de l’unité à laquelle appartient la machine. En général toutes les machines d’une unité appartiennent à un même Vlan qui recouvre en fait un subnet. Changer brutalement le Vlan du port sur lequel est raccordé une machine va bouleverser sa participation au réseau.
Veiller à ne pas bloquer la machine et continuer de lui donner les services essentiels à sa survie en réseau pour permettre sa réparation, tel est le point essentiel du cahier des charges de ce projet de quarantaine.
Le port sur lequel la machine est raccordée est donc basculé dans un Vlan préparé pour accueillir la nouvelle venue. Cette préparation consiste à offrir tous les services essentiels pour qu’une machine correctement configurée sur EPNET continue à fonctionner. Un routeur par défaut en fonction de son Vlan (en fait son subnet) d’origine est mis à sa disposition. Elle bénéficie aussi d’un service de résolution de noms IP (DNS) et d’un distributeur d’adresses IP (DHCP) au cas où elle en serait tributaire. Ceci afin que l’utilisateur de l’ordinateur n’ait pas l’impression qu’il se soit planté (impression d’autant plus légitime rappelons le que cet ordinateur a de bonnes raisons de dysfonctionner). Dès ce moment là, on va tenter d’avertir et d’informer, en envoyant un popup quand c’est possible (machine sous Windows) et/ou en imposant une page html d’alerte pour toute URL réclamée...
C’est alors que l’utilisateur peut suivre les liens proposés et accéder aux ressources qui vont lui permettre de réparer sa machine et de revenir blanchi sur EPNET.
Seules des liaisons HTTP et HTTPS sont possibles et avec certains sites uniquement.
• Winsec.epfl.ch (pour les consignes de réparation et les patchsWindows)
• linuxline.epfl.ch (idem pour Linux)
• sunline.epfl.ch (idem pour Solaris)
• download.microsoft.com
• windowsupdate.com
• vil.nai.com (information sur les méfaits des vers et virus en cause)

D’autres liens seront ajoutés en fonction des besoins. Tout est fait à l’heure où cet article est rédigé pour qu’une machine atteinte d’un ver de la famille Blaster ou de la famille Sdbot puisse être nettoyée, patchée et abonnée à une mise à jour automatique de son antivirus (EPO, cf article 112

Bilan provisoire

Les machines atteintes d’un virus qui déclenchent une activité réseau suffisamment anormale pour imposer leur coupure nous donnent souvent un moyen aisé de les détecter pour les basculer automatiquement. C’est le cas des vers de la famille Blaster. Une cascade d’automates intervient sur les équipements et prépare l’accueil de la machine en quarantaine. Les messages envoyés sur cette machine sont spécifiques à son problème. Sa sortie de quarantaine se fait automatiquement pour autant que les vulnérabilités aient été colmatées.
Parfois la détection est plus délicate, la décision du basculage est manuelle, mais le reste du processus ne change pas.
Disposer d’un tel outil s’avère précieux. Soustraire du réseau tout en permettant la réparation... à l’aide du réseau, est un bien grand service rendu. Malheureusement nous sommes aussi honteux d’avoir recours à un tel service à une si grande échelle sur notre campus. Cela signifie que notre parc de machines est mal géré. Il vaut mieux prévenir que guérir, on ne le dira jamais assez en matière d’informatique car les virus de demain ne ressembleront peut-être pas à ceux d’aujourd’hui et risquent de transformer notre réseau de quarantaine en un immense et désolant cimetière.



Cherchez ...

- dans tous les Flash informatique
(entre 1986 et 2001: seulement sur les titres et auteurs)
- par mot-clé

Avertissement

Cette page est un article d'une publication de l'EPFL.
Le contenu et certains liens ne sont peut-être plus d'actualité.

Responsabilité

Les articles n'engagent que leurs auteurs, sauf ceux qui concernent de façon évidente des prestations officielles (sous la responsabilité du DIT ou d'autres entités). Toute reproduction, même partielle, n'est autorisée qu'avec l'accord de la rédaction et des auteurs.


Archives sur clé USB

Le Flash informatique ne paraîtra plus. Le dernier numéro est daté de décembre 2013.

Taguage des articles

Depuis 2010, pour aider le lecteur, les articles sont taggués:
  •   tout public
    que vous soyiez utilisateur occasionnel du PC familial, ou bien simplement propriétaire d'un iPhone, lisez l'article marqué tout public, vous y apprendrez plein de choses qui vous permettront de mieux appréhender ces technologies qui envahissent votre quotidien
  •   public averti
    l'article parle de concepts techniques, mais à la portée de toute personne intéressée par les dessous des nouvelles technologies
  •   expert
    le sujet abordé n'intéresse que peu de lecteurs, mais ceux-là seront ravis d'approfondir un thème, d'en savoir plus sur un nouveau langage.