Technoaddict

Le projet Untangle vient de sortir la nouvelle version de son UTM, la 7.3.
Pour rappel, le projet Untangle est un firewall UTM (Unified Threat Management ou traitement de la menace unifiée) basé sur Debian et qui propose des services de sécurité tels que :

• Firewall
• Mailrelay avec antispam et antivirus
• Filtrage de contenu HTTP et d’urls
• Bloquage de la publicité sur les pages web
• Passerelle VPN
• IDS/IPS

Toutes ces fonctionnalités sont gratuites et livrées en standard. Untangle étant une suite modulaire, il est possible d’étendre ses possibilités en ajoutant d’autres modules qui eux sont payants, comme :

• Un service de support
• Le système Antispam de Commtouch
• Un module de règles firewall étendu (username …)
• Gestion de 2 accès Internet redondés
• Antivirus Kaspersky

la nouvelle version propose essentiellement la possibilité de faire de la marque blanche à des buts d’OEM, des améliorations dans le GUI, une liste de compatibilité Hardware étendue, de traditionnels bugfix et une optimisation de la consommation mémoire augmentant d’autant les performances.
Rendez-vous ici pour le téléchargement.

Wallix va bientôt livrer à la communauté OpenSource son tout nouveau Proxy RDP.
Baptisé Redemption, il se présentera dans un premier temps sous forme de source à compiler, les packages pour les distributions Debian et dérivées sont à venir.
Au chapitre fonctionnalités notons que ce proxy se dote du copier/coller et du montage des périphériques locaux sur l’hôte distant.
Plus que de simplement acheminer les connexions RDP entrantes vers des serveurs RDP, il pourra faire l’interface entre le client RDP et des serveurs VNC ou même X.
Egalement il sera possible de définir une liste d’ACLs autorisant les utilisateurs à se connecter seulement sur certaines machines.

Datamation publie un article énonçant 50 alternatives OpenSource aux logiciels dits de sécurité les plus connus.
Datamation les classe par catégorie :

• antivirus,antispam,waf (web application firewall)
• les outils de suppression de données et de chiffrement
• transfert de fichiers,utm,ips/ids,firewall
• gestion des mots de passe,filtrage d’url,crack de mots de passe

Parmi les outils confrontés citons notamment Clamav opposé à Avast pour les antivirus, Apparmor face au WAF de Barracuda, Winscp face à CuteFTP par exemple,Endian Firewall face aux Symantec et autres Checkpoint ou encore Vyatta face à Cisco.

Notons qu’enfin loin d’être exhaustif ce petit annuaire renforce l’idée selon laquelle il est aisé aujourd’hui de trouver à chaque logiciel propriétaire une excellente alternative OpenSource. Même s’il est vrai que le domaine de la sécurité informatique fourmille de projets ce postulat peut aisément être transposé aux autres domaines de l’informatique (bureautique, graphisme ….)

Au gré de mes furetages sur le web je suis tombé sur cet excellent article sur le blog « Libérez le Tux » qui explique comment monter un proxy Squid dont l’authentification est basée sur un Backend LDAP.

Je vais donc m’en inspirer et vous enjoins de faire pareil !!

Astaro annonce la disponibilité en beta de la version 8.0 de sa célèbre Security Gateway. Parmi les nouveautés majeures on trouve

un nouveau kernel 64 bits
le support de IPV6
un nouvel installateur
un WAF
un look&feel revu pour le webadmin
la possibilité de tracer les actions faites dans webadmin
le paramétrage du bypass du filtrage d'URLs
du reverse DNS

Cette nouvelle version vient donc sensiblement enrichir la version précédente déjà ultra complète. Astaro cherche des beta-testeurs afin d’évaluer les changements et les aider à débugger. Vous pouvez également consulter la release notes complète et télécharger la béta ici.

Astaro est l’un de leaders dans le domaine de l’Appliance UTM (Unified Threat Management ou Traitement unifié de la menace).
Ces appliances regroupent en un seul boitier :

• Un firewall avec gestion du NAT
• Un serveur DHCP et DNS associés à toutes les fonctions de sécurité traditionnelles (restriction d’IPs, bail fixe ….)
• Un mail relay avec antivirus-antispam
• Du filtrage d’URL
• La gestion VPN IPsec ou SSL
• La gestion des reverse DNS et des DNS dynamiques
• Une interface d’administration web

La liste n’est pas exhaustive et on peut trouver d’autres fonctionnalités qui peuvent différer en fonction de l’éditeur. Le monde de l’OpenSource regorge de solutions permettant de monter facilement et rapidement son appliance UTM. Citons par exemple PfSense (qui a déjà fait l’objet d’articles dans ces colonnes), IPCop, Smoothwall, Monowall …

Après avoir déconseillé l’utilisation de Internet Explorer en janvier dû à une faille de sécurité, le Cert allemand récidive en déconseillant cette fois l’utilisation de Firefox 3.6.1 car une faille zero-day y a été découverte. La faille permet à un utilisateur mal intentionné d’exécuter du code sur une machine distante et par la même de compromettre ladite machine.

Secunia qualifie cette faille de hautement critique et précise que la version 3.6 est affectée mais que les autres pourraient l’être aussi.

On n’est jamais trop prudent sur la sécurité de ses systèmes que ce soit sur ses serveurs et même sur son poste de travail pour peu qu’un serveur SSH tourne dessus.
Partant de ce constat Linux-Mag publie un article sur 5 moyens faciles de sécuriser son système disons de manière un peu plus avancée.

Premier moyen : La suspension du compte (account locking)

Cette solution permet de suspendre le compte au bout d’un nombre d’essais infructueux (paramétrable) ce qui de-facto met l’utilisateur « à la porte du serveur ou du poste de travail »

Deuxième solution : Restreindre les planificateurs de tâches :

Mettre en place des restrictions sur les planificateurs de tâches tels que Cron ou AT pour n’autoriser que ROOT à les configurer.

Troisième parade : Rejeter tout par défaut

Cette solution radicale consiste à paramétrer le fichier /etc/hosts.deny en y insérant la ligne suivante : ALL : ALL. Ceci aura pour effet de rejeter toutes les connexions venant d’ailleurs que les adresses que vous aurez préalablement renseigné dans le fichier /etc/hosts.allow avant de vous déconnecter.

Quatrième moyen : Ne pas autoriser les connexions SSH en ROOT

Déjà évoqué à plusieurs reprises sur ce blog et ayant même fait l’objet de mini polémiques dans les commentaires.Dans le cas qui nous intéresse ici, il s’agit plus de traçabilité pour l’administrateur du système que de sécurité à proprement parler.

Cinquième et ultime solution : Changer le port par défaut du serveur SSH

Egalement déjà évoqué dans ces colonnes notamment dans le billet concernant la sécurisation de son serveur SSH.

On le voit ces 5 « tips&tricks » sont plutôt simples à mettre en place et apportent un gain loin d’être insignifiant en matière de sécurité.

J’étais hier dans les travées de Solutions Linux et je suis tombé sur le stand de Edenwall. L’éditeur spécialisé dans les Firewalls a sorti dans la nuit de mardi à mercredi, une nouvelle version de NuFirewall moins de 2 semaines après la release de la version 2.4.0 de NuFw.

Rappelons que NuFirewall est un FrontEnd graphique pour NetFilter et NuFw qui grâce à ce dernier a la particularité d’associer des règles de filtrage classique à l’identité de ses utilisateurs.

NuFirewall est une interface PyQT qui comprend : (source linuxfr)

• Administration système (réseau, DNS, annuaire d’utilisateurs…) ;
• Création de règles de filtrage Netfilter et NuFW ;
• Analyse graphique des logs ;
• Parefeu identifiant ;
• Gestion des certificats (PKI).

Le tout est basé sur une Debian Lenny. Vous pouvez télécharger la solution ici. Sur la page vous trouverez également un guide de démarrage rapide vous permettant d’installer et de configurer facilement le Firewall.

Etant actuellement en train de travailler sur la mise en place de dispositifs de haute-disponibilité actif/actif et de répartition de charge pour le compte d’un client, je m’étais penché sur ipvs-adm qui fonctionne très bien. Le but étant de redonder des connexions SSH HTTPS et RDP. Le fait qu’IPVS-ADM est un proxy TCP générique me convenait très bien.
C’est alors qu’un collègue m’a fait suivre une news sur le fait que HA-Proxy supportait désormais le RDP. L’avantage de cette nouvelle version est qu’elle intègre également des mécanismes de surveiilance des process MySQL ce qui dans mon cas est également utile.
Parmi les autres nouveautés on trouve le support des architectures SPARC.
La version 1.4 était sortie le 26 février mais des bugs existants dans les versions installées sur des plateformes non Linux ont empêché son adoption massive. La version 1.4.1 vient donc de sortir pour corriger ces bugs.
Vous pouvez consulter le changelog.

Après l’épisode Debian, voilà que OpenSSL fait de nouveau parler de lui. Des chercheurs de l’Université du Michigan spécialisés dans l’Ingéniérie electrique et le département informatique, ont réussi à recomposer une clé RSA de 1024 bits.
La manière de procéder est assez originale. En effet ils ont agi sur l’alimentation éléctrique de la machine pour provoquer des erreurs pendant le traitement de messages cryptés. En provoquant de petites fluctutations de courant ils étaient alors en mesure de récupérer des petits bouts de la clé.
Ils ont alors récupéré 8800 messages malformés et les ont introduit dans un cluster composé de 81 machines à base de pentium4 2,4 ghz.
Il leur a alors fallu 104 heures pour trouver l’intégralité de la clé.
Evidemment cette méthode est plus difficile à effectuer sur des serveurs de production, ceux ci se trouvant théoriquement dans des datacenters protégés, même si ce dernier point ne constitue pas forcément une immunité absolue.

Les développeurs OpenSSL ont affirmé qu’ils étaient déjà occupés à produire un patch pour cette faille.

(source: The Register)