Ubuntu-fr

krampouz

Alcasar

bonjour,
j'ai l'intention de mettre en place l'outil Alcasar (http://www.alcasar.info) pour la protection des acces internet dans notre SI.

Pour ne pas diversifier les OS, je souhaiterais configurer la solution sur une base Ubuntu.

Quelqu'un aurait-il un retour d'experience la dessus?

Merci d'avance & kevavo

---

SE: Ubuntu 16.04, Debian  8 Jessie
EB: XFCE 4.12
Pibilinn
Amenagement Fourgon Bretagne

edouardkalinski

Re : Alcasar

En ayant un petit de retour d'expérience, il me semble, pour l'instant, que "ALCASAR" soit difficilement transportable sur une autre distrib. En effet ce projet de portail captif repose sur une mandriva 2007 (bientôt 2008) et du coup les chemins d'accès aux fichiers de conf et applis diffèrent d'une Ubuntu, Fedora ...
Ceci étant, les tutos et les différents fichiers de conf sont tellement bien documentés qu'il n'est pas impossible de l'adapter sur une autre distrib en attendant, peut-être, une plus grande portabilité.
Bonne continuation.

Ed

Antoot

Re : Alcasar

Attention, Alcasar est très facilement détournable ... Voir http://www.wzdftpd.net/blog/index.php?2 … ls-are-bad. En effet, un simple changement d'adresse MAC ou IP permet passer la phase d'authentification et même d'usurper l'identité d'un autre utilisateur !

Préférer http://nufw.org, qui d'ailleurs est packagé dans notre distribution favorite

edouardkalinski

Re : Alcasar

Attention, Alcasar est très facilement détournable ... Voir http://www.wzdftpd.net/blog/index.php?2 … ls-are-bad. En effet, un simple changement d'adresse MAC ou IP permet passer la phase d'authentification et même d'usurper l'identité d'un autre utilisateur !

... c'est pour cela qu'il est conseillé pour un usage en entreprise dans laquelle d'ailleurs, un bon admin aura, au préalable, correctement configuré ses postes clients en adéquation avec sa politique de sécurité.

spongebob_

Re : Alcasar

Le problème n'est pas la sécurité du poste client ! C'est plutot le fait, par exemple, de brancher un portable sur un réseau d'entreprise, et de pouvoir non seulement passer outre les règles de sécurité, mais pire encore le faire au nom d'un autre utilisateur !!
Un bon admin n'utilisera pas un portail captif pour gérer la sécurité d'un réseau d'entreprise.

Axley

Re : Alcasar

Attention, Alcasar est très facilement détournable ... Voir http://www.wzdftpd.net/blog/index.php?2 … ls-are-bad. En effet, un simple changement d'adresse MAC ou IP permet passer la phase d'authentification et même d'usurper l'identité d'un autre utilisateur !

Préférer http://nufw.org, qui d'ailleurs est packagé dans notre distribution favorite

Hum on dirait bien une guerre de clocher...
Libre à chacun de choisir la solution qu'il préfère et SURTOUT qui lui convient...

C'est ça le monde libre non

Antoot

Re : Alcasar

Attention, Alcasar est très facilement détournable ... Voir http://www.wzdftpd.net/blog/index.php?2 … ls-are-bad. En effet, un simple changement d'adresse MAC ou IP permet passer la phase d'authentification et même d'usurper l'identité d'un autre utilisateur !

Préférer http://nufw.org, qui d'ailleurs est packagé dans notre distribution favorite

Hum on dirait bien une guerre de clocher...
Libre à chacun de choisir la solution qu'il préfère et SURTOUT qui lui convient...

C'est ça le monde libre non

Euh guerre de clocher ... là c'est un peu comme dire on a telnet et ssh c'est pareil on a le choix.
Sur un point de vu sécurité, comparer NuFW à un portail captif c'est comparer telnet et ssh ou http et https

edouradkalinski

Re : Alcasar

Le problème n'est pas la sécurité du poste client ! C'est plutot le fait, par exemple, de brancher un portable sur un réseau d'entreprise, et de pouvoir non seulement passer outre les règles de sécurité, mais pire encore le faire au nom d'un autre utilisateur !!
Un bon admin n'utilisera pas un portail captif pour gérer la sécurité d'un réseau d'entreprise.

Ha ! Si l'admin n'est pas capable de maîtriser son réseau et de ne pas savoir ce qui s'y passe, alors en effet, j'en convient que "NuFW" est préférable ...

black_duck

Re : Alcasar

Attention, Alcasar est très facilement détournable ... Voir http://www.wzdftpd.net/blog/index.php?2 … ls-are-bad. En effet, un simple changement d'adresse MAC ou IP permet passer la phase d'authentification et même d'usurper l'identité d'un autre utilisateur !

Préférer http://nufw.org, qui d'ailleurs est packagé dans notre distribution favorite

Hum on dirait bien une guerre de clocher...
Libre à chacun de choisir la solution qu'il préfère et SURTOUT qui lui convient...

C'est ça le monde libre non

Euh guerre de clocher ... là c'est un peu comme dire on a telnet et ssh c'est pareil on a le choix.
Sur un point de vu sécurité, comparer NuFW à un portail captif c'est comparer telnet et ssh ou http et https

Ouais mon voisin a choisi de mettre son wifi en clair, c est un peu pareil

LaHaAn

Re : Alcasar

Ha ! Si l'admin n'est pas capable de maîtriser son réseau et de ne pas savoir ce qui s'y passe

Pour qu'un admin sache tout ce qu'il se passe sur son réseau, il a sans doute besoin d'une bonne dose de poudre verte (http://www.poudreverte.org/). Il est terriblement facile de se faire passer une machine quelconque pour une autre sur le réseau : Pour changer d'adresse MAC, il suffit de taper "ifconfig eth0 hwaddr ether MACADDRESQUONVEUT". Comme la même commande permet de changer d'IP, c'est donc réellement trivial de se connecter à un réseau en faisant passer son système pour une autre machine.

À part en déployant du 802.1x (et encore, rien de tel qu'un hub en coupure), il me semble difficile de savoir quelles machines se connectent sur un réseau. Donc de là à juger évident qu'un administrateur puisse contrôler ce qui se passe sur le réseau, il y a un goufre que je ne franchirai pas.

Si on veut alors filtrer par utilisateur sur le firewall et que l'on a des exigences de sécurité, il y a donc tout intérêt à utiliser un système qui ne soit pas basé sur des associations user == MAC ou IP.

Edouardkalinski

Re : Alcasar

... un petit exemple de maitrise de son réseau:
- sécurisation des ports des éléments actifs du réseau;
- interdire l'utilisation de certains outils: invite de commandes (win$) ou commande ifconfig
- si ça ne suffit pas, interdire aussi l'amorçage du pc avec d'autres supports (livecd, liveusb, ...)
- etc ... et ce n'est que du bon sens !
                                 
==> Au final l'utilisation d'Alcasar est tout a fait plausible !

Ouais mon voisin a choisi de mettre son wifi en clair, c est un peu pareil

Là un autre exemple: quand on veut parler de sécurité sur les réseaux on évite d'évoquer le wifi (chiffré ou non !)

Après il y a des admin et les bricoleurs du dimanche ...

Salutations

LaHaAn

Re : Alcasar

... un petit exemple de maitrise de son réseau:
- sécurisation des ports des éléments actifs du réseau;
- interdire l'utilisation de certains outils: invite de commandes (win$) ou commande ifconfig
- si ça ne suffit pas, interdire aussi l'amorçage du pc avec d'autres supports (livecd, liveusb, ...)
- etc ... et ce n'est que du bon sens !
                                 
==> Au final l'utilisation d'Alcasar est tout a fait plausible !

On n'oubliera pas non plus de supprimer les possibilités de login multiples sur les machines que cela soit physique (profitons d'une pause café de qqn pour ouvrir une deuxième session et prendre ses droits) ou par le réseau (désactiver la prise en main à distance). Sinon, qqn peut se connecter et se faire passer pour la personne à qui l'IP/MAC est associée.

Edourdkalinski

Re : Alcasar

On n'oubliera pas non plus de supprimer les possibilités de login multiples sur les machines que cela soit physique (profitons d'une pause café de qqn pour ouvrir une deuxième session et prendre ses droits) ou par le réseau (désactiver la prise en main à distance). Sinon, qqn peut se connecter et se faire passer pour la personne à qui l'IP/MAC est associée.

Tout le travail de l'admin est là ... je vois qu'une réflexion est en cours, bravo !!
Alors pourquoi ne pas la pousser un peu plus loin en évaluant "objectivement" les différentes solutions évoquées que sont: NuFW  et Alcasar: avec ces dernières, on fait a peu près les mêmes choses mais avec des techniques différentes; après il faut s'orienter selon son environnement et ses savoirs-faire ...

Antoot

Re : Alcasar

... un petit exemple de maitrise de son réseau:
[...]- interdire l'utilisation de certains outils: invite de commandes (win$) ou commande ifconfig
- si ça ne suffit pas, interdire aussi l'amorçage du pc avec d'autres supports (livecd, liveusb, ...)
- etc ... et ce n'est que du bon sens !

Là tu nous dis que tu sécurises le réseau en empéchant du boot de tes machines sur d'autres support ou en limitant l'accès à ifconfig à tes utilisateurs, et que c est du bon sens  ??? Tu ne confondrais pas système et réseau par hasard ? La sécurisation réseau et complémentaire et différente de la sécurisation système car tu ne pourras pas empecher que quelqu'un arrive avec sa propre machine ou dans cet exemple que quelqu'un lance un .exe sous windows (pas besoin d etre admin) pour changer la mac adress ...
                         

==> Au final l'utilisation d'Alcasar est tout a fait plausible !

Je ne comprends pas la démarche : on t explique et te prouve que c est une passoire et tu veux l'utiliser ??? (voir plus bas)

Après il y a des admin et les bricoleurs du dimanche ...

Ah oui, là je suis d'accord (voir plus haut)

Antoot

Re : Alcasar

Tout le travail de l'admin est là ... je vois qu'une réflexion est en cours, bravo !!
Alors pourquoi ne pas la pousser un peu plus loin en évaluant "objectivement" les différentes solutions évoquées

C'est ce qui est fait ici, être objectif et regarder d'un point de vue de la sécurité (ce sont des outils de sécu en plus ... ) si c est fiable et si on peut le mettre en place sur des réseaux.

NuFW  et Alcasar: avec ces dernières, on fait a peu près les mêmes choses mais avec des techniques différentes; après il faut s'orienter selon son environnement et ses savoirs-faire ...

Ben oui, c est comme telnet et ssh, on fait à peu près les mêmes choses mais avec des techniques différentes, après on choisi comme tu dis selon son savoir faire 

Edouardkalinski

Re : Alcasar

Pour mémoire, un réseau est un ensemble d'équipements connectés entre eux. Il va sans dire qu'un pc fait aussi parti du dit réseau. Hors si les pc ne sont pas sécurisés un minimum, les utilisateurs font ce qu'ils veulent et la voie est libre à toutes les fantaisies ...
Donc je ne crois pas confondre système et réseau.

tu ne pourras pas empecher que quelqu'un arrive avec sa propre machine ou dans cet exemple que quelqu'un lance un .exe sous windows (pas besoin d etre admin) pour changer la mac adress ...

En effet, dans un réseau sans fil, il apparaît quelques lacunes dans le projet Alcasar pour sécuriser les accès à un autre réseau. Mais la communauté active du projet saura, sans aucun doute y remédier.
En revanche dans le cadre d'un réseau classique d'entreprise (FO, RJ45), cette solution correspond aux objectifs fixés.
Car pour rappel (... et ce n'est qu'un exemple parmi tant d'autre) en sécurisant les ports des éléments actifs (au niv. 2), dès qu'un pc, avec une @ Mac non reconnue, tente de se plugger, le port se bloque ... bien sûr si l'admin veut empêcher toute intrusion physique.
Donc à ce stade, il ne reste plus qu'à sécuriser le pc à partir duquel on accèdera à un autre réseau.
... et empêcher l'utilisation de certains softs, ce n'est pas bien compliqué et ce quelque soit l'OS.

c est comme telnet et ssh, on fait à peu près les mêmes choses mais avec des techniques différentes

C'est aussi comme choisir entre LDAP ou Active Directory, Apache ou IIS, Netasq ou Arkoon, Ubuntu ou CentOS ...
Enfin, j'ai quand même employé les deux solutions avant d'avoir un œil critique ...

LaHaAn

Re : Alcasar

En revanche dans le cadre d'un réseau classique d'entreprise (FO, RJ45), cette solution correspond aux objectifs fixés.
Car pour rappel (... et ce n'est qu'un exemple parmi tant d'autre) en sécurisant les ports des éléments actifs (au niv. 2), dès qu'un pc, avec une @ Mac non reconnue, tente de se plugger, le port se bloque ... bien sûr si l'admin veut empêcher toute intrusion physique.

Mais je me marre à "@ Mac non reconnue" : je débranche un PC, je me branche avec un cable croisé, je récupère sa MAC, je change ma MAC et je prends sa place.

Il voit quoi l'équipement actif à part un port qui se débranche et se rebranche une minute après ?

LaHaAn

Re : Alcasar

On n'oubliera pas non plus de supprimer les possibilités de login multiples sur les machines que cela soit physique (profitons d'une pause café de qqn pour ouvrir une deuxième session et prendre ses droits) ou par le réseau (désactiver la prise en main à distance). Sinon, qqn peut se connecter et se faire passer pour la personne à qui l'IP/MAC est associée.

Tout le travail de l'admin est là ... je vois qu'une réflexion est en cours, bravo !!

Pas du côté du clavier,

Alors pourquoi ne pas la pousser un peu plus loin en évaluant "objectivement" les différentes solutions évoquées que sont: NuFW  et Alcasar: avec ces dernières, on fait a peu près les mêmes choses mais avec des techniques différentes; après il faut s'orienter selon son environnement et ses savoirs-faire ...

C'est sûr, on peut aussi comparer telnet et ssh, du wifi non crypté et du wifi crypté, la résistance du conducteur à un crash à 30km/h dans une 2CV et dans une voiture moderne, un saut dans le vide sans et avec parachute.
Oui, ce n'est pas comme comparer des choux et des romans, les fait ou fonctions sont semblables. Mais ce qui est sûr, c'est que dans un cas, le danger est bien plus grand.

Au vu des échanges jusqu'ici, je sens sens l'objection poindre sur la comparaison ssh et telnet : "mais si je suis connecté en telnet dans un réseau isolé du reste du monde par une cage de Faraday, le tout doublé une enceinte hermétique. Par précaution, j'ai aussi répandu du gaz sarrin sur toute la surface de la terre. Donc là ssh et telnet c'est pareil."

Oui, mais là il ne reste qu'une personne sur le réseau, on est bien loin des conditions standards.

Edouardkalinski

Re : Alcasar

on est bien loin des conditions standards

Ok, alors quelles sont selon vous des conditions standards ??

Et enfin, avez vous testé les deux solutions ou l'origine de vos remarques, non fondées, se rapportent-elles à quelques discussions de comptoir détournées ou de quelques critiques déjà formulées, à tort, sur la toile?
Après, je ne vois qu'un œil aguerri et impartial qui puisse tenir de tels propos concernant un tout jeune projet.
Dans tous les cas, je suis près à enrichir ma juvénile expérience dans le domaine de la téléinformatique: peut-être quand faisant preuve de beaucoup de pédagogie, vous pourriez m'enseigner comment ré-inventer l'eau chaude.

Antoot

Re : Alcasar

c est comme telnet et ssh, on fait à peu près les mêmes choses mais avec des techniques différentes

C'est aussi comme choisir entre LDAP ou Active Directory, Apache ou IIS, Netasq ou Arkoon, Ubuntu ou CentOS ...
Enfin, j'ai quand même employé les deux solutions avant d'avoir un œil critique ...

Bon, ben si vous ne comprenez vraiment pas la différence au niveau de la sécurité entre telnet et ssh je comprends que vous vouliez utiliser Alcasar ...

Edouardkalinski

Re : Alcasar

Bon, ben si vous ne comprenez vraiment pas la différence au niveau de la sécurité entre telnet et ssh je comprends que vous vouliez utiliser Alcasar ...

C'est bizarre, j'arrive à comprendre la différence entre x25 et ip, en revanche comprend pas telnet et ssh ... trop compliqué pour moi ces histoires de protocoles.

Antoot

Re : Alcasar

Bon, ben si vous ne comprenez vraiment pas la différence au niveau de la sécurité entre telnet et ssh je comprends que vous vouliez utiliser Alcasar ...

C'est bizarre, j'arrive à comprendre la différence entre x25 et ip, en revanche comprend pas telnet et ssh ... trop compliqué pour moi ces histoires de protocoles.

Bon, faute avouée à moitié pardonnée
J'ai fait une petite recherche pour vous sur Google (google est un moteur de recherche disponible à http://www.google.fr et j'ai trouvé cette petite page qui explique rapidement les différences :
http://marc.terrier.free.fr/docputty/Chapter1.html

LaHaAn

Re : Alcasar

on est bien loin des conditions standards

Ok, alors quelles sont selon vous des conditions standards ??

C'était une référence aux conditions standards utilisé en chimie. Pour faire preuve de pédagogie : Elles définissent notamment des conditions de pression et de température standards sur Terre. Cette notion de standardisation garantit la reproductibilité des expériences. Cette notion est donc sous-jacente à la définition de ce qu'est une démarche scientifique et en particulier une preuve scientifique. Au vu des arguments ineptes que vous déployez tout au long de ce thread, je ne suis pas vraiment étonné que cette référence à une des éléments fondateurs de la science ne vous ai pas sauté aux yeux.

Et enfin, avez vous testé les deux solutions ou l'origine de vos remarques, non fondées, se rapportent-elles à quelques discussions de comptoir détournées ou de quelques critiques déjà formulées, à tort, sur la toile?

Pour en revenir  à quelque chose de prouvé. Alcasar est basé sur une technlogie de portail captif. L'utilisation d'un tel dispositif peut se justifier pour limiter les accès à un réseau WiFi. C'est historiquement leur raison d'être et ils présentent un compromis intéressant pour cette utilisation : Sans avoir de clients logiciels à installer, on peut limiter les accès aux personnes. Le dispositif se contourne facilement (cf
http://www.wzdftpd.net/blog/index.php?2008/11/11/29-captive-portals-are-bad qui traite spécifiquement le cas d'alcasar) mais comme le contournement permet "seulement" d'avoir accès à internet, ce n'est pas spécialement critique puisque les ressources de l'entreprise ne sont pas directement menacées (ou alors la facturation n'est pas effectuée dans le cas d'un Hotspot payant).

Cependant d'un point de vue juridique, une entreprise est pénalement responsable de ce qui se fait depuis son réseau : http://www.legalis.net/breves-article.php3?id_article=1612
Par conséquent, si le dispositif est contourné pour commettre des actes répréhensibles, l'entreprise peut-être tenue responsable. Comme le contournement d'un portail captif ne laisse pas de trace, l'entreprise ne pourra même pas prouver sa bonne foi.

Edouardkalinski

Re : Alcasar

J'ai fait une petite recherche pour vous sur Google (google est un moteur de recherche disponible à http://www.google.fr et j'ai trouvé cette petite page qui explique rapidement les différences :
http://marc.terrier.free.fr/docputty/Chapter1.html

Merci pour les infos, mais c'est trop technique.:rolleyes:
Quant à l'histoire du petit chimiste: j'ai rien compris ... comme depuis le début !!
Enfin, à la simple question: avez-vous déjà employé ou testé les deux solutions ??
Je pense que non car vous auriez certainement eu plus de recul avant de "casser" ce jeune projet.

Antoot

Re : Alcasar

Enfin, à la simple question: avez-vous déjà employé ou testé les deux solutions ??
Je pense que non car vous auriez certainement eu plus de recul avant de "casser" ce jeune projet.

Ben si justement. Et c 'est bien pour cela que je répondais à vos questions. Alcasar se détourne très facilement (même si vous ne l avez pas compris, relisez le fil et suivez les liens) et donc ne répond pas aux objectifs donnés sur leur site. Et si donner son avis quand bien même il soit négatif est "casser", alors oui je "casse" ce projet car dans la sécurité on ne peut faire de compromis.