DHCP Snooping

Certaines requêtes DHCP étant envoyées en broadcast (diffusion sur tout le réseau) , il est possible pour une personne mal intentionnée d’utiliser son propre serveur DHCP afin de diffuser des configurations malicieuses.

En effet, cela est possible en laissant le serveur DHCP pirate répondre plus rapidement aux requêtes DHCP que le serveur DHCP présent sur le réseau, offrant ainsi aux utilisateurs des configurations prédéfinies et destinées à des actions malicieuses (voir schéma ci-dessous).

Le problème est que le serveur DHCP pirate peut définir comme passerelle par défaut sa propre adresse IP dans les configurations réseaux qu’il fournira aux clients DHCP, cela signifie que chaque personne sur le réseau fera transiter ses données en passant par le serveur DHCP pirate au lieu de la passerelle par défaut initialement prévue par l’administrateur réseau.

Notions sur les VLANs

Les technologies VLANs virtualisent un LAN. La virtualisation d'un LAN consiste en la séparation logique entre, d'une part, l'infrastructure physique et, d'autre part, les services de couche 2 « liaison de données » fournis par les commutateurs. Cet article reprend les notions nécessaires à la bonne compréhension de cette technologie.

Fonctionnement d'un LAN

Au sein d'un LAN défini comme une infrastructure commutée, soit un réseau composé de commutateurs, toutes les interfaces hôtes disposent d'une adresse unique : une adresse physique MAC du protocole IEEE 802. Un commutateur tient des tables de correspondance entre ses ports et les adresses des hôtes afin de transférer rapidement le trafic. Sur ces réseaux, on connaît du trafic unicast (à destination d'un seul hôte), du trafic de broadcast (diffusion, à destination de tous les hôtes) et du trafic multicast (à destination de certains hôtes). Un commutateur transfère le trafic de diffusion et multicast à travers tous ses ports sauf celui d'origine; un routeur « filtre » le trafic de diffusion en ne le transférant pas.

LAN Virtuel (VLAN)

Un VLAN est un LAN logique fonctionnant sur une infrastructure LAN physique commutée. Une infrastructure physique commune peut supporter plusieurs VLANs. Chaque LAN virtuel fonctionnera comme n'importe quel LAN distinct. Concrètement, les ports du commutateur prennent un identifiant VLAN. Cet identifiant logique définit l'étendue du domaine de diffusion : le trafic de diffusion ne sera transféré que sur les ports ayant le même identifiant. Autrement dit, par exemple, le trafic de diffusion venant d'un port appartenant au VLAN 66 ne se sera transféré que sur les ports ayant pour attribution le VLAN 66. La séparation fonctionnelle entre deux ports ayant des identifiants VLAN différents correspond à une séparation physique. En quelque sorte, la technologie VLAN permet de diviser logiquement les ports du commutateur, soit l'infrastructure physique elle-même.

La virtualisation d'un LAN consiste en la séparation logique entre, d'une part, l'infrastructure physique et, d'autre part, les services de transfert rapide fournis par les commutateurs.

L'objectif fondamental d'un VLAN est de rendre la fonction d'un LAN tel que décrit plus haut indépendante de l'infrastructure physique. Cette technologie s'intègre pleinement dans les marchés des environnements virtualisés, des déploiements de réseaux sans fil, de la VoIP, des passerelles Internet d'entreprise et familiales.

Comment sécuriser un environnement MS Exchange 2003 server

Introduction

La sécurité au niveau du serveur Exchange 2003 implique une combinaison de politique, de configuration, et de pratiques. Avec n'importe quel type de système, ces aspects exigent la planification, la conception, et les testes. Ceci inclut, le développement des politiques de sécurité concernant la transmission de messages, standardiser les mécanismes de Windows Server 2003 et du serveur Exchange 2003.

1. Comment évaluer les risques

Une considération principale pour la sécurité est le risque et les coûts liés à sécuriser l'information. Ce n'est pas simplement de déterminer la valeur monétaire de l'information mais également les différents types de risques et de la valeur de l'information. Demandez-vous combien cela va coûter à l'organisation si l'information était détruite, changée, ou volée.
Ce n'est pas une tâche facile ; en fait, elle est souvent intimidante. Tandis que des valeurs monétaires peuvent facilement être associées à quelques types d'information, d’autres informations peuvent être presque impossible à évaluer. La chose importante à se rappeler est qu'il est essentiel de sécuriser vos ressources et un équilibre doit être fait entre le coût de sécuriser l'information avec la valeur de l'information.
Une fois que le processus d'évaluation est lancé, il est important de commencer à analyser des vulnérabilités possibles de sécurité pour le service ou la fonctionnalité que l'organisation offre. Ce qui suit sont certains des risques de sécurité à étudier et protéger contre pour Exchange Server 2003 :

• Déni de service : Un Déni de service, ou le DOS (denial of service), se produit quand un utilisateur effectue avec malveillance une certaine action qui cause une interruption de service. L'interruption peut affecter les utilisateurs visés ou le serveur en entier. Un exemple pourrait être le « ping of death » ou un en-tête particulier d'un email qui consomme tout le temps processeur du serveur Exchange.
• Virus ou messages de cheval de troie : Les virus, les vers d'email, et les messages de cheval de troie sont le fléau du monde des transmissions de messages. Ils peuvent causer beaucoup de perte de temps en productivité, et peut être un travail à temps plein. Heureusement, le serveur Exchange 2003 a les nombreux dispositifs qui aident les administrateurs et les fournisseurs d'antivirus à combattre ce problème.
• Spam : Malheureusement, les emails non sollicité (Spam) sont destinés à être une partie de la vie de la communauté de transmission de messages pour longtemps — si ce n'est pour toujours. Il force le matériel non désiré et fréquemment répréhensible dans les boites de réceptions des utilisateurs, coûtant aux utilisateurs d'Internet des milliards de dollars par an. La raison est simple : Le Spam est une manière bon marché pour que les mass-marketers envoient leur message à un trés grand nombre de personnes.
• Attaques intentionnelles : Ces attaques visent habituellement un système spécifique de transmission de messages. Les attaques peuvent se produire pour perturber des opérations commerciales normales ou pour compromettre une vulnérabilité connue dans le système de la transmission de messages de la compagnie. L'administrateur devrait considérer que quelques attaques intentionnelles sont employées pour focaliser l'attention loin de la « vraie » attaque.
• Spoofing de messages : Le Spoofing de messages est une tactique employée par beaucoup de vers d'email, tels que KLEZ et BugBear, aussi bien que quelques attaques intentionnelles par les utilisateurs malveillants. Le Spoofing de messages change les en-têtes smtp de sorte que le courrier provienne d'un serveur d'adresse différent ou de serveur de messagerie. Ces messages sont parfois difficiles et demande du temps pour être dépanner/identifier. 

Installation et configuration de MRTG

1 Présentation de MRTG

MRTG (Multi Router Traffic Grapher) a pour but de créer des graphiques à partir de données récoltées par différentes sources, dont le protocole SNMP (Simple Network Management Protocol), qui est utilisé pour gérer des équipements informatiques. La mise en place de MRTG permet de mettre en place une surveillance et un monitoring sur un réseau, même hétérogène.

1.1 Installation de SNMP

Le système de gestion de réseau est basé sur deux éléments principaux : un superviseur et des agents.
Le superviseur est la console qui permet à l'administrateur réseau d'exécuter des requêtes de management.
Les agents sont des entités qui se trouvent au niveau de chaque interface connectant l'équipement managé au réseau et permettant de récupérer des informations sur différents objets.
l'installation se fait simplement grâce à yum :

$ su -c 'yum install net-snmp net-snmp-utils'

1.2 Configuration de SNMP

Le fichier de configuration de SNMP est /etc/snmp/snmpd.conf, commençons donc par faire une sauvegarde de ce fichier, en tant que root :

# cp /etc/snmp/snmpd.conf /etc/snmp/snmpd.conf.save

Nous allons pouvoir maintenant appliquer une nouvelle configuration en remplaçant le fichier par ces lignes ( en les personnalisant bien entendu en fonction de vos besoins ).

Installation et configuration de Cacti

1 Présentation de CACTI

Cacti est un logiciel de supervision (dit de « capacity planning ») basé sur RRDtool permettant de surveiller l’activité de son architecture informatique à partir de graphiques quotidiens, hebdomadaires, mensuels et annuels.
J'utilise toujours Cacti sur les serveurs que je gère car c'est un outil très fonctionnel, ergonomique grâce à son interface web et surtout personnalisable à souhait.
Voyons un peu comment mettre en place cette petite merveille de Cacti ...

2 Installation

Pas de surprise ! le paquet est disponible via notre yum préféré :

$ su -c 'yum install cacti'

Les utilisateurs de CentOS devront ajouter le dépot RpmForge
L'installation de Cacti se déroule dans le répertoire /var/www/cacti/. Pour fonctionner, nous allons avoir besoin d'un serveur web Apache ou lighttpd avec le support de PHP, d'un serveur MySql, de RRDtool, et de Net-SNMP.