Happy hacking :-) - Tag - sécurité

RMLL08> Retour sur le thème Sécurité

chris — Thu, 03 Jul 2008 10:24:00 +0200

Un petit billet pour dire que la sécurité aux RMLL 2008, c'était ... très bien

Mardi après midi :

Malgré une chaleur terrible et pas mal de bruit en provenance du chantier voisin de l'IUT, nous avons eu droit à 3 belles conférences :

Pablo Neira Ayuso, de la Netfilter Core Team, nous a proposé une conférence à la fois accessible et pertinente sur la problématique de haute disponibilité des pare-feux à état. Les capacités d'enseignant de Pablo ont totalement porté leurs fruits. Edit : Thomas Petazonni a mis en ligne la vidéo (Ogg, 45min, 264Mo) ,
Eric Leblond a très bien sensibilisé l'audience aux avantages de l'habilitation utilisateur au niveau réseau vs l'habilitation d'adresse ip. Ses réponses furent efficaces notamment sur l'explicitation de l'agent NuFW côté client,
Eric Papet a fait un bon travail d'évangélisation sur les problématiques de méthodologie de gestion des risques auprès d'un public plutôt technique. Ce qui ne l'a pas empêché d'échanger avec des personnes de l'assistance qui étaient "de la partie". Cette session a permis à Eric d'évaluer sa conférence et lui permettra de l'optimiser encore pour les prochaines sessions.

La bonne surprise de la journée étant l'ajout d'une session "Signature Numérique" pour Mercredi.

Mercredi :

Une petite nouveauté du moins pour moi : un passage en direct sur FreenewsTV / DivergenceFM à 13:30 avec Eric Leblond et Pablo Neira Ayuso sur le thème de la Sécurité. A vous de voir si cette expérience est concluante mais "from inside", cela m'a paru très positif avec des prises de parole efficaces d'Eric et de Pablo (en plus de la sécurité, Pablo a notamment pu parler du libre en Andalousie).

~~Je mettrai à jour le billet quand l'émission sera en ligne~~ C'est en ligne (position approx. dans la vidéo : entre 10min30 et 24min30) !

Côté conférences, petit tour des "popotes" :

très bonne synergie entre les conférences de Sébastien Tricaud sur les concepts d'IDS/NIDS/HIPS et celle de Yoann Vandoorselaere sur PreludeIDS. Le public fut amha séduit par cet ensemble cohérent. Special thank à Yoann pour son aller-retour dans la journée entre Lyon et Mont de Marsan (sic),
la qualité logicielle et le fuzzing par Victor Stinner : une conférence intéressante par l'illustration que la qualité du code impacte directement la sécurité. La sécurité à la source en somme. Le fuzzing est là vu comme un moyen d'augmenter la sécurité en amont. Un angle d'attaque de la sécurité intéressant et pas si fréquent. Merci Victor
enfin, Bruno Bonfils a fourni un bon survol fonctionnel et technique de la signature numérique.

Toutes les conférences ont été mises en ligne au fil de l'eau, tout est à disposition sur le site des RMLL, thème Sécurité.

RMLL 2008> thème sécurité + interviews + réservations

chris — Mon, 05 May 2008 22:21:00 +0200

Et bien, voilà, les Rencontres Mondiales du Logiciel Libre reviennent comme tous les ans et cette fois-ci, cela se passe à Mont de Marsan, dans les Landes.

Pour ma part, je m'occupe de la coordination du thème sécurité. Au programme :

une session de 3 conférences sur les pare-feux (netfilter, pf et NuFW). Session à laquelle se rajoute une conférence sur la méthode MEHARI,
une session sur les intrusions et le fuzzing.

Ont été aussi réalisées 2 interviews :

interview de Pablo Neira Ayuso de la Netfilter Core Team,
interview de Eric Leblond d'INL, créateur du pare-feu authentifiant NuFW.

And last but not the least, vous pouvez désormais réserver en ligne vos repas/logement pour les RMLL.

Go !

[Article MISC] reverse proxy Apache 2.2 ou l'intérêt d'un équipement en coupure

chris — Sun, 27 Jan 2008 23:26:00 +0100

Juste un petit mot pour rappeler que le MISC de Janvier/Février 2008 est sorti avec un petit article de votre serviteur dedans.

L'objet ? une présentation de l'intérêt d'avoir un reverse proxy (ici Apache 2.2) pour mettre en ligne sur Internet une application de type boite noire pour ses collaborateurs ou partenaires.

Pourquoi un reverse proxy ?

capacité à maitriser la mise en ligne sans toucher au code (réécriture HTTP cookies compris, réécriture HTML)
capacité à ajouter des fonctionnalités sans toucher au serveur applicatif : https, authentification et habilitation LDAP par exemple
capacité à bloquer certaines attaques toujours sans toucher au code (puisque vous ne l'avez pas car c'est une boite noire)

Cela vaut la peine d'y réfléchir finalement, non ;-) ?

PS : pourquoi Apache ? parce que c'est libre, parce que c'est efficace en diable et parce que c'est super documenté. What else ?

Gandi Hébergement -- part 2: sécuriser le SSH de son serveur Ubuntu

chris — Thu, 17 Jan 2008 22:04:00 +0100

Une fois acquis, votre hébergement est accessible en mode expert via ssh : ssh <votre user>@<votre adresse IP>

1. Le problème

Mais dès que vous dites cela, vous vous rendez compte que tous les robots et autres botnets peuvent en faire autant.

Vous ne me croyez pas ?

Lancez donc cette commande comme moi au bout de seulement 2 jours :

root@XXX:/home/user1# cat /var/log/auth.log* | grep 'Failed password' | grep sshd
 | awk '{print $1,$2}' | sort | uniq -c
    690 Jan 10
     58 Jan 11

Le résultat exprime le nombre d'échecs de connexion SSH par jour (sic !). En gros, Presque 700 échecs de connexion pour une machine venant d'être mise en ligne. CQFD.

Quelques faits :

SSH est configuré par défaut chez Gandi pour ne pas autoriser les logins root,
vous devez renforcer absolument le password de votre user de connexion,
vous devez vous prémunir des attaques de force brute.

2. La solution

Un moyen tout simple est d'utiliser le logiciel Fail2ban.

Principe :

Analyser les échecs de connexion consignés dans le fichier /var/log/auth.log et mettre à jour le firewall en bannissant pour un temps donné les adresses IP apparaissant plus de tant de fois en échec dans le fichier en question.

Prérequis :

Installer un firewall. Iptables dans notre cas.

Commande :

apt-get install iptables
apt-get install fail2ban

Configuration :

La configuration s'effectue dans le répertoire /etc/fail2ban. La configuration par défaut est dans le jail.conf que l'on peut altérer en créant le fichier jail.local. Comme cela, lors d'une update, pas d'écrasement de configuration.

Mon fichier jail.local :

[DEFAULT]
ignoreip = @IP1 @IP2 @IP3

[ssh]
maxretry = 3

Où @IPx sont les adresses sur lesquelles vous ne souhaitez pas de mise en liste noire. Cela peut être utile d'y mettre l'IP fixe de votre box domestique ou celle de votre sortie internet d'entreprise au cas où cela soit VOUS qui ayez oublié votre password

Résultat :

root@XXX:/home/user1# cat /var/log/auth.log* | grep 'Failed password' | grep sshd
 | awk '{print $1,$2}' | sort | uniq -c
    690 Jan 10
     58 Jan 11
     11 Jan 12
     14 Jan 13
      7 Jan 14
      2 Jan 15

Liste du nombre d'échecs de connexions sur SSH avec une installation de fail2ban le 11 Janvier. Spectaculaire hein ?

[Article MISC] Mon serveur DNS, mon IDS oublié ;-)

chris — Sun, 06 May 2007 14:42:00 +0200

Le numéro de Mai/Juin 2007 de MISC publie un article de votre serviteur sur l'utilisation d'un serveur DNS d'entreprise en tant que sonde de détections d'intrusion. Enjoy !

Le numéro de Mai/Juin 2007 de MISC est sorti

Au milieu d'articles pointus sur la sécurité de la VOIP (par exemple), vous pourrez y lire un article écrit par mes soins, bien moins expert certes que ses congénères mais pouvant peut-être vous aider dans votre lutte quotidienne contre les intrusions au sein de votre LAN chéri

L'idée : utiliser votre serveur DNS en tant que sonde de détection d'intrusion (aka IDS).

Les prérequis :

avoir une architecture DNS répondant aux critères de sécurité décrits dans cet article,
avoir une interconnexion avec l'internet ENTIEREMENT basée sur des proxies (HTTP notamment) ou des relais (SMTP, DNS).

La mise en oeuvre :

sur le serveur BIND, rendre actif le log des requêtes reçues par le serveur,
au sein de ces requêtes, identifier toutes les adresses IP n'étant PAS celles des serveurs relais ou proxies.

Vous avez avec cette liste d'adresses IP une liste potentielle des postes infectés (ou mal configurés ).

Le reste c 'est chez votre libraire préféré ;-) !