Technoaddict

J’étais hier dans les travées de Solutions Linux et je suis tombé sur le stand de Edenwall. L’éditeur spécialisé dans les Firewalls a sorti dans la nuit de mardi à mercredi, une nouvelle version de NuFirewall moins de 2 semaines après la release de la version 2.4.0 de NuFw.

Rappelons que NuFirewall est un FrontEnd graphique pour NetFilter et NuFw qui grâce à ce dernier a la particularité d’associer des règles de filtrage classique à l’identité de ses utilisateurs.

NuFirewall est une interface PyQT qui comprend : (source linuxfr)

• Administration système (réseau, DNS, annuaire d’utilisateurs…) ;
• Création de règles de filtrage Netfilter et NuFW ;
• Analyse graphique des logs ;
• Parefeu identifiant ;
• Gestion des certificats (PKI).

Le tout est basé sur une Debian Lenny. Vous pouvez télécharger la solution ici. Sur la page vous trouverez également un guide de démarrage rapide vous permettant d’installer et de configurer facilement le Firewall.

Tags: edenwall, firewall authentifiant, nouvelle version, nufw, parefeu

Linux et Open-Source, Planet-libre, Securite Informatique edenwall, firewall authentifiant, nouvelle version, nufw, parefeu

Etant actuellement en train de travailler sur la mise en place de dispositifs de haute-disponibilité actif/actif et de répartition de charge pour le compte d’un client, je m’étais penché sur ipvs-adm qui fonctionne très bien. Le but étant de redonder des connexions SSH HTTPS et RDP. Le fait qu’IPVS-ADM est un proxy TCP générique me convenait très bien.
C’est alors qu’un collègue m’a fait suivre une news sur le fait que HA-Proxy supportait désormais le RDP. L’avantage de cette nouvelle version est qu’elle intègre également des mécanismes de surveiilance des process MySQL ce qui dans mon cas est également utile.
Parmi les autres nouveautés on trouve le support des architectures SPARC.
La version 1.4 était sortie le 26 février mais des bugs existants dans les versions installées sur des plateformes non Linux ont empêché son adoption massive. La version 1.4.1 vient donc de sortir pour corriger ces bugs.
Vous pouvez consulter le changelog.

Tags: ha-proxy, haute-dispo, nouvelle, RDP, version

Linux et Open-Source, Planet-libre, Securite Informatique ha-proxy, haute-dispo, nouvelle, RDP, version

Après l’épisode Debian, voilà que OpenSSL fait de nouveau parler de lui. Des chercheurs de l’Université du Michigan spécialisés dans l’Ingéniérie electrique et le département informatique, ont réussi à recomposer une clé RSA de 1024 bits.
La manière de procéder est assez originale. En effet ils ont agi sur l’alimentation éléctrique de la machine pour provoquer des erreurs pendant le traitement de messages cryptés. En provoquant de petites fluctutations de courant ils étaient alors en mesure de récupérer des petits bouts de la clé.
Ils ont alors récupéré 8800 messages malformés et les ont introduit dans un cluster composé de 81 machines à base de pentium4 2,4 ghz.
Il leur a alors fallu 104 heures pour trouver l’intégralité de la clé.
Evidemment cette méthode est plus difficile à effectuer sur des serveurs de production, ceux ci se trouvant théoriquement dans des datacenters protégés, même si ce dernier point ne constitue pas forcément une immunité absolue.

Les développeurs OpenSSL ont affirmé qu’ils étaient déjà occupés à produire un patch pour cette faille.

(source: The Register)

Tags: bug, courant, electricité, faille, OpenSSL, patch

Linux et Open-Source, Planet-libre, Securite Informatique bug, courant, electricité, faille, OpenSSL, patch

Slashdot publie un article sur un virus qui aurait pour cible GNU/Linux. Sa particularité est que plutôt que de cibler de façon traditionnelle les ordinateurs, celui là s’en prendrait aux modems routeurs fonctionnant sous Linux. Il a une autre particularité, son nom : Chuck Norris
Sa propagation serait rendue aisée par le fait que la plupart des modems routeurs voient leur mot de passe usine inchangé, et que souvent l’accès distant est activé dessus.

Tags: chuck norris, Linux, Modem, routeur, virus

Linux et Open-Source, Securite Informatique chuck norris, Linux, Modem, routeur, virus

Les sondes anti-intrusion Open-Source ne sont pas légion et SNORT fait aujourd’hui figure de référence.
L’Open Source Information Foundation (OISF) vient de sortir la version BETA de Suricata.

Suricata est un moteur IDS/IPS de nouvelle génération reposant sur la libraire HTP. Cette librairie est un parser HTTP autorisant une analyse des flux HTTP très poussée ce qui confère sa puissance à Suricata.
Parmi les fonctionnalités proposées en avant-première par l’OISF on trouve le multi-threading inexistant jusqu’à aujourd’hui dans les autres solutions IDS/IPS, l’intégration de la décompression GZIP, la detection automatique des protocoles …

Je vous renvoie au site de l’OISF pour plus de détails et télécharger le soft.

Tags: anti-intrusion, ids, intrusion, ips, sonde, suricata

Linux et Open-Source, Planet-libre, Securite Informatique anti-intrusion, ids, intrusion, ips, sonde, suricata

Il n’y a pas longtemps je vous annonçais la disponibilité de la version 1.2.3 de PfSense. Et voilà qu’en guise de cadeau de Noël, l’équipe de développement nous propose de télécharger la toute nouvelle version 2.0 !
Si il s’agit encore d’une beta, elle est déjà très stable mais les développeurs n’encouragent évidemment pas à la mettre en production. Quoi qu’il en soit en terme de fonctionnalités, celles ci n’évolueront plus jusqu’à la version finale. Il ne s’agira que de corrections liées à la QA.
Rendez-vous sur le blog pour en découvrir plus !

Tags: beta, disponible, firewall, pfsense 2.0

Linux et Open-Source, Planet-libre, Securite Informatique beta, disponible, firewall, pfsense 2.0

Une nouvelle version du Firewall PfSense est disponible. Pour rappel PfSense est une distribution FreeBSD proposant un firewall complet.
La version 1.2.3 est une mise à jour mineure amenant quelques corrections de bugs ainsi que certaines améliorations, en attendant la version 2.0 actuellement en ALPHA.
Citons tout d’abord le passage à FreeBSB 7.2, l’amélioration du bridging d’interfaces dynamique, le support des noms de domaine dynamique en IPSec, la possibilité de supprimer des baux DHCP …
Je vous renvoie à la release notes pour la liste exhaustive des changements.
Pour mettre à jour votre Firewall, rendez-vous dans votre interface d’admin, onglet « System » puis « Firmware ». Cliquez alors sur « Enable Firmware Upload » et sélectionnez le fichier à transférer (télécharger le ici). Cliquez ensuite sur « Upgrade Firmware ». Une fois le fichier uploadé le firewall redémarrera.

Tags: freebsd, nouvelle, pfsense, upgrade, version

Linux et Open-Source, Planet-libre, Securite Informatique freebsd, nouvelle, pfsense, upgrade, version

Cet article va vous exposer quelques trucs et astuces permettant d’améliorer le niveau de sécurité d’un serveur SSH. Ces astuces s’appuient sur l’implémentation la plus répandue du protocole SSH, OpenSSH. Ceci n’est pas un tutoriel dans le sens où toutes ces astuces ne peuvent être « activées » sur un même serveur SSH.

Les fichiers de Configuration d’OpenSSH

Pour rappel, OpenSSH possède un certain nombre de fichiers de configuration:

• /etc/ssh/sshd_config : fichier de configuration du serveur SSH,
• /etc/ssh/ssh_config : fichier de configuration du client SSH,
• ~/.ssh/ : répertoire contenant la configuration ssh propre à l’utilisateur, référencé par ~,
• ~/.ssh/authorized_keys : Liste des  clés publiques (RSA et DSA) pouvant être utilisées pour se connecter à ce compte,
• /etc/hosts.allow et /etc/hosts.deny : la white list et la black list d’OpenSSH.

Ces fichiers seront cités dans la suite de l’article, sans faire référence à leur chemin complet.

Petit point à propos des mécanismes de chiffrement RSA et DSA.

Régulierement est posée la question de savoir qui du protocole RSA ou DSA est le plus sécurisé. La  réponse est simple. A un dimensionnement de clés raisonnable, les deux protocoles offriront un niveau de sécurité équivalent. L’ANSSI (Agence Nationale de la sécurité des systèmes d’information) recommande aujourd’hui d’utiliser des clés de 2048bits (cf. Recommandations sur le dimensionnement des clés).
Cependant, ssh-keygen, l’outil de génération de clés d’OpenSSH ne permet pas de générer des clés DSA de 2048 bits (tout du moins dans la version d’OpenSSH 5.1p1 disponible sous Ubuntu Jaunty). Vous pouvez cependant la générer avec openssl et l’utiliser avec openssh.

Génération d’un clé DSA avec OpenSSL :

Génération de la clé privée

openssl dsaparam -noout -out ~/.ssh/id_dsa -genkey 2048
openssl dsa -in ~/.ssh/id_dsa -des3 -out ~/.ssh/id_dsa

Génération de la clé publique :

openssl dsa -in ~/.ssh/id_dsa -pubout -out ~/.ssh/id_dsa.pub

Règles et recommandations :

Renforcement de l’authentification

Un précédent article dans ce blog montre que les utilisateurs, en négligeant les risques liés au choix et au dimensionnement de leurs méthodes d’authentification sont souvent le maillon faible d’un système d’information.
Afin d’endiguer ce phénomène, voici quelques règles simples qui permettront de renforcer l’authentification des utilisateurs sur des serveurs SSH. Les clés de configuration listées sont à insérer/contrôler dans le fichier sshd_config.

1. Ne pas autoriser de mots de passe vides :

   PermitEmptyPasswords no

2. Ne pas donner d’accès root à l’équipement :

   PermitRootLogin no  *

3. Modifier le MOTD visualisé par les utilisateurs afin de les informer des risques encourus :

   Banner <chemin de la nouvelle bannière>

4. Ajouter un timeout à vos connexions afin que les utilisateurs ne laissent pas des shells ouverts indéfiniment :

   ClientAliveInterval 300

   ClientAliveCountMax 0

5. Forcer les utilisateurs à avoir des mots de passe forts **
6. Privilégier l’authentification par clé publique et désactiver l’authentification par mot de passe :

   PasswordAuthentication No

7. Mettre en place une authentification forte / bi-facteur.

* En règle générale, il est recommandé pour deux raisons d’éviter de donner l’accès à des comptes génériques :

• le nom d’utilisateur est connu de tous (une information sur deux est disponible!),
• il est impossible pour un administrateur du SI de savoir qui a fait quoi. Il est préférable de s’authentifier d’abord à l’aide d’un compte nominatif, puis de prendre les privilèges nécessaires (les logs système permettront de savoir quel utilisateur a pris quels droits à un instant T).

** Cette réflexion va bien au-delà du simple renforcement de l’authentification sur des serveurs SSH et doit être prise à un niveau global dans l’administration d’un système d’information.

Renforcement de l’accès au serveur SSH

1. La première règle de sécurité est évidente : un démon SSH inutilisé est un démon SSH de trop.
2. Vérifier que les serveurs SSH ne supportent que la version 2 du protocole, la première version étant désormais ancienne et faillée comme un OS de Microsoft. Pour cela, vérifier que votre sshd_config possède l’entrée suivante :
   « Protocol 2″
3. Limiter les comptes autorisés à se connecter via SSH en utilisant les clés AllowUsers et DenyUsers.

   AllowUsers john

   n’autorisera que l’utilisateur john à se connecter à la machine

   DenyUsers mysql

   n’autorisera pas l’utilisateur mysql.
   Ceci est particulièrement utile dans le cadre de machines disposant de compte générique (base de données …)

4. Paramétrer les firewalls pour limiter l’accès à vos services (dans un monde parfait, l’accès SSH est limité à votre LAN)
5. Changer le port de connexion, limiter les adresses de binding

   ListenAddress 192.168.1.5

   Port 300

6. Renforcer votre serveur SSH contre les attaques brute-force en utilisant des systèmes tels que DenyHosts ou fail2ban
7. Désactiver l’authentification par mot de passe. Ceci vous protégera efficacement des attaques par force brute
8. Enfin, si l’authentification par mot de passe est nécessaire, privilégier l’authentification  « keyboard-interactive ». Ceci également afin de vous protéger des attaques par force brute.
   Modifier votre sshd_config de la manière suivante:

   PasswordAuthentication no

   ChallengeResponseAuthentication yes

DenyHosts : Mettre à jour votre hosts.deny

DenyHosts est un démon, écrit en python qui scrute le /var/log/auth.log pour détecter les échecs d’authentification. Si un nombre (configurable) de tentatives échouées est atteint, l’ip source est alors blacklistée dans le hosts.deny du système. DenyHosts implémente également un mécanisme de purge. Un court article ici (en anglais) montre une configuration simple pour DenyHosts.

Authentification Bi-Facteur avec OpenSSH

Une des authentifications bi-facteur la plus simple à mettre en oeuvre est une authentification password / clé publique + OTP (one-time password).

Pour debian la marche à suivre est la suivante :

apt-get install libpam-opie opie-server

Ensuite dans /etc/pam.d/ssh, ajouter l’entrée pam_opie :

auth    required   pam_env.so envfile=/etc/default/locale
auth    required   pam_opie.so

Le fichier de configuration du serveur ssh doit avoir une authentification positionnée à :

ChallengeResponseAuthentication yes
PasswordAuthentication no

Il reste à initialiser le serveur  OTP :

opiepasswd -c

Rentrer la passphrase qui permettra de générer les OTP. Il ne reste plus qu’à déployer des calculatrices OTP sur les postes clients (paquet opie-client). La procédure d’authentification sera alors la suivante :

jack@bauer:~$ ssh login@device
otp-md5 492 ne9401 ext, Response:
Password:
...

Contribution d’Olivier Hervieu pour TechnoAddict

Tags: ANSSI, DenyHosts, DSA, Fail2ban, OpenSSL, OPIE, RSA, sécurité, SSH

Planet-libre, Securite Informatique ANSSI, DenyHosts, DSA, Fail2ban, OpenSSL, OPIE, RSA, sécurité, SSH

Un collègue m’a fait suivre une petite enquête sur une attaque au mots de passe qui a eu lieu au début de ce mois.
Par le biais d’une attaque ancestrale (envoi d’un faux email destiné à récupérer les identifiants) un anonyme a pu rapatrier les logins et mots de passe de 19440 comptes Hotmail, Gmail, Yahoo et Free.
Tuxplanet a analysé le contenu récupéré et a pu se rendre compte de la faiblesse des mots de passe choisis par quelques utilisateurs de ces webmails.
Voici une liste à titre d’exemple:
On a trouvé:

- 87 fois 123456
- 25 fois 123456789
- 16 fois 123321
- 21 fois monkey
- 17 fois password
- 13 fois les mots princess, horses, tigger

Sans parler des milliers de mots du dictionnaire choisis.

Voilà qui vient confirmer mon billet d’hier à savoir que c’est bien l’humain qui est responsable de 90% des intrusions informatiques et autres vols de données.

Tags: dictionnaire, forts, mots de passe, sécurité

Planet-libre, Securite Informatique dictionnaire, forts, mots de passe, sécurité

Je suis en ce moment en prestation dans une grande institution française pour mettre en place une solution de sécurité informatique.
Comme d’habitude les exigences du client en la matière sont assez élevées et il est plutôt pointu sur les différents tests à effectuer.
Pour lui la sécurité de son Système d’Information est quelque chose de primordial et il ne laisse rien au hasard.
Première pierre d’achoppement à son bel enthousiasme, les mots de passe des équipements critiques sont tous imprimés. Deuxième détail lors de la pause de midi tout le monde est parti nous laissant mon collègue et moi en présence d’ordinateurs non vérouillés et surtout de la fameuse liste de mots de passe.

Lors de la plupart de mes déplacements en clientèle, il m’a systématiquement été donné de voir des choses du même acabit voire pire.
La conclusion est la suivante: Il va de soi qu’une bonne sécurité informatique est absolument nécessaire. Mais 90% des risques pourraient être réduits si les choses les plus élémentaires étaient respectées.
Comme l’humain ne peut être éliminé de la boucle, il faut l’éduquer en conséquence. Et pour moi la plupart des sites spécialisés, ou des magazines traitant du sujet devraient et doivent évoquer ces choses. Car que faire avec le Firewall, le proxy ou la sonde IDS du siècle si son administrateur laisse à qui veut bien le voir les mots de passe des accès?

Tags: bon sens, education, mots de passe, post-it, sécurité

Securite Informatique bon sens, education, mots de passe, post-it, sécurité