| Accueil de l'archive | Service proposé par Hervé AGNOUX |
From: "Herve AGNOUX" <hagnoux@mail.club-internet.fr> To: java@u-strasbg.fr Date sent: Thu, 24 Feb 2000 10:34:40 +0100 Subject: securite serveur rmi Priority: normal Send reply to: java@u-strasbg.fr Bonjour, D'un coté y'a moi avec un programme serveur RMI. De l'autre y'a un web master linux qui aimerait savoir comment il peut utiliser ses outils de contrôle d'incursions illégitimes (ex : "inietd", crois-je avoir compris, sans aucune garantie) pour pouvoir stopper ou au moins espionner des tentatives mal intentionnées. Savez-vous comment un programme extérieur peut vérifier les accés au port RMI et éviter les blagues ? Et plus généralement, avez-vous entendu parler d'attaques sur un serveur RMI ? Merci. -- Hervé AGNOUX hagnoux@mail.club-internet.fr Faites vos sites avec des formulaires electroniques : http://www.diaam.com
Date sent: Thu, 24 Feb 2000 11:31:25 +0100 From: Guillaume Desnoix <guillaume-desnoix@memoire.com> To: java@u-strasbg.fr Subject: Re: securite serveur rmi Send reply to: java@u-strasbg.fr Salut, Herve AGNOUX wrote: > D'un coté y'a moi avec un programme serveur RMI. De l'autre y'a un > web master linux qui aimerait savoir comment il peut utiliser ses > outils de contrôle d'incursions illégitimes (ex : "inietd", crois-je > avoir compris, sans aucune garantie) pour pouvoir stopper ou au moins > espionner des tentatives mal intentionnées. Si c'est un linuxien, la discussion doit etre possible ;-) "inetd" est le "meta-demon" qui lance les serveurs a la demande. Soit ton serveur tourne en continu (et alors tu n'en as pas besoin). Soit il est lance a chaque requete et il faut alors ajouter une ligne dans /etc/inetd.conf. Pour ce qui est de la securite, c'est tcpwrapper qui est souvent utilise (y compris quand inetd est utilise). C'est une sorte de pare-feu qui peut filtrer/enregistrer les entrees. Sur un serveur RMI public, je ne vois pas trop ce que tu peux vouloir interdire. Eventuellement un filtre selon l'IP source de tes clients. Le mieux serait un filtre qui verifie que les acces sont bien des requetes RMI et non un autre type... > Savez-vous comment un programme extérieur peut vérifier les > accés au port RMI et éviter les blagues ? L'essentiel est de verifier l'identite via un mote de passe (HTTP et/ou RMI). A mon avis l'attaque principale serait du type Denial Of Service (saturation par envoi massif). Tcpwrapper peut te proteger de ce type d'attaque. > Et plus généralement, avez-vous entendu parler d'attaques sur un > serveur RMI ? J'ai pose la question il y a une dizaine de jours, pas de reponses. Et je n'ai rien trouve sur le reseau. Guillaume
From: "Herve AGNOUX" <hagnoux@mail.club-internet.fr> To: java@u-strasbg.fr Date sent: Thu, 24 Feb 2000 12:23:55 +0100 Subject: Re: securite serveur rmi Priority: normal Send reply to: java@u-strasbg.fr Le 24 Feb 00, Guillaume Desnoix a écrit : > source de tes clients. Le mieux serait un filtre qui verifie que les > acces sont bien des requetes RMI et non un autre type... > Comment fait-on ça ? > > L'essentiel est de verifier l'identite via un mote de passe (HTTP et/ou > RMI). A mon avis l'attaque principale serait du type Denial Of Service Merci encore :-) J'ai déjà implanté un système de passe au niveau RMI, mais je vois pas le rapport avec un mot de passe HTTP ? -- Hervé AGNOUX hagnoux@mail.club-internet.fr Faites vos sites avec des formulaires electroniques : http://www.diaam.com
Date sent: Thu, 24 Feb 2000 13:12:10 +0100 From: Guillaume Desnoix <guillaume-desnoix@memoire.com> To: java@u-strasbg.fr Subject: Re: securite serveur rmi Send reply to: java@u-strasbg.fr Herve AGNOUX wrote: > > source de tes clients. Le mieux serait un filtre qui verifie que les > > acces sont bien des requetes RMI et non un autre type... > Comment fait-on ça ? En pratique je ne sais pas... Certains firewalls implementent des filtres pour HTTP. Ils verifient que la requete est bien du HTTP et sinon la rejette. Le principe doit etre applicable a RMI, il faut verifier l'entete par exemple. Je ne connais pas de produit qui implemente ca pour autre chose que HTTP (mais je ne m'interesse pas trop au sujet). Peut-etre est-ce possible de faire qqch au niveau de Tcpwrapper (tcpd) mais je ne le connais pas assez bien. machinerie... En plus filtrer les trames ralentit la communication. Le mieux est de ne pas mettre ca en place mais juste tcpwrapper (tcpd) avec l'option PARANOID ;-). Et de rajouter un outil de tracage de log avec detection + maj des fichiers /etc/hosts.allow et /etc/hosts.deny . > > L'essentiel est de verifier l'identite via un mote de passe (HTTP > > et/ou RMI). A mon avis l'attaque principale serait du type Denial Of > > Service > Merci encore :-) J'ai déjà implanté un système de passe au niveau > RMI, mais je vois pas le rapport avec un mot de passe HTTP ? Dans ton cas (une application Java independante) ce n'est pas necessaire sauf tunneling (encapsulation de RMI dans HTTP). Je suggerais HTTP par exemple dans le cas d'applet car les outils existent et il est plus performant de faire la verification en HTTP (car directement au niveau du server WWW ou meme du Firewall) qu'au niveau du serveur RMI. Guillaume
From: Erik Mazoyer <erik.mazoyer@hyperoffice.fr> To: "'java@u-strasbg.fr'" <java@u-strasbg.fr> Subject: RE: securite serveur rmi Date sent: Thu, 24 Feb 2000 16:46:50 +0100 Send reply to: java@u-strasbg.fr Si tu n'utilise pas l'encapsulation HTTP, la vérification du port est possible sur les FireWalls. Par exemple si tu as deux serveurs, l'un HTTP, l'autre RMI, tu peux dire que seules les trames TCP-IP port 80 sont autorisées vers ton serveur HTTP que seules les trames TCP-IP port RMI (je ne connais pas le port) sont autorisées vers ton serveur RMI. Ceci dit, ça ne protège pas ton serveur RMI d'attaque RMI :-(, seulement d'attaque HTPP (?), Telnet (vrai problème),... Tu peux aussi filtrer les adresses autorisées. Exemple : Tu n'autorises que les adresses 192.168.1.x a utiliser le port RMI. Ce n'est pas sur à 100% car il possible de faire croire que l'on utilise un adresse de type 192.168.1.x alors que notre IP est 253.65.89.117 (par exemple). > -----Message d'origine----- > De: Eric LEMAITRE [SMTP:eric.lemaitre@csinstitut.fr] > Date: jeudi 24 février 2000 15:43 > À: java@u-strasbg.fr > Objet: Re: securite serveur rmi > > Herve AGNOUX a écrit : > > > Le 24 Feb 00, Guillaume Desnoix a écrit : > > > > > source de tes clients. Le mieux serait un filtre qui verifie que les > acces > > > sont bien des requetes RMI et non un autre type... > > > > > > > Comment fait-on ça ? > > Salut ! > > Avec le filtre firewall du noyau Linux, soit ipfwadm soit ipchains, en > filtrant sur le numéro de port, très certainement. > > @ ++ ! > > -- > Eric LEMAITRE > Ingénieur CNAM (CNAM Computer Engineer, MSD) > Ingénieur et Formateur certifié Linux Red-Hat (RHCE & RHCX Certified) > Responsable de formation pour les filières Internet et Linux (Head of > Internet/Linux Education Department) >