mercredi 29 juin 2011

DHCP Snooping

Certaines requêtes DHCP étant envoyées en broadcast (diffusion sur tout le réseau) , il est possible pour une personne mal intentionnée d’utiliser son propre serveur DHCP afin de diffuser des configurations malicieuses.

En effet, cela est possible en laissant le serveur DHCP pirate répondre plus rapidement aux requêtes DHCP que le serveur DHCP présent sur le réseau, offrant ainsi aux utilisateurs des configurations prédéfinies et destinées à des actions malicieuses (voir schéma ci-dessous).
Le problème est que le serveur DHCP pirate peut définir comme passerelle par défaut sa propre adresse IP dans les configurations réseaux qu’il fournira aux clients DHCP, cela signifie que chaque personne sur le réseau fera transiter ses données en passant par le serveur DHCP pirate au lieu de la passerelle par défaut initialement prévue par l’administrateur réseau.

mardi 28 juin 2011

Notions sur les VLANs

Les technologies VLANs virtualisent un LAN. La virtualisation d'un LAN consiste en la séparation logique entre, d'une part, l'infrastructure physique et, d'autre part, les services de couche 2 « liaison de données » fournis par les commutateurs. Cet article reprend les notions nécessaires à la bonne compréhension de cette technologie.

Fonctionnement d'un LAN

Au sein d'un LAN défini comme une infrastructure commutée, soit un réseau composé de commutateurs, toutes les interfaces hôtes disposent d'une adresse unique : une adresse physique MAC du protocole IEEE 802. Un commutateur tient des tables de correspondance entre ses ports et les adresses des hôtes afin de transférer rapidement le trafic. Sur ces réseaux, on connaît du trafic unicast (à destination d'un seul hôte), du trafic de broadcast (diffusion, à destination de tous les hôtes) et du trafic multicast (à destination de certains hôtes). Un commutateur transfère le trafic de diffusion et multicast à travers tous ses ports sauf celui d'origine; un routeur « filtre » le trafic de diffusion en ne le transférant pas.

LAN Virtuel (VLAN)

Un VLAN est un LAN logique fonctionnant sur une infrastructure LAN physique commutée. Une infrastructure physique commune peut supporter plusieurs VLANs. Chaque LAN virtuel fonctionnera comme n'importe quel LAN distinct. Concrètement, les ports du commutateur prennent un identifiant VLAN. Cet identifiant logique définit l'étendue du domaine de diffusion : le trafic de diffusion ne sera transféré que sur les ports ayant le même identifiant. Autrement dit, par exemple, le trafic de diffusion venant d'un port appartenant au VLAN 66 ne se sera transféré que sur les ports ayant pour attribution le VLAN 66. La séparation fonctionnelle entre deux ports ayant des identifiants VLAN différents correspond à une séparation physique. En quelque sorte, la technologie VLAN permet de diviser logiquement les ports du commutateur, soit l'infrastructure physique elle-même.
La virtualisation d'un LAN consiste en la séparation logique entre, d'une part, l'infrastructure physique et, d'autre part, les services de transfert rapide fournis par les commutateurs.
L'objectif fondamental d'un VLAN est de rendre la fonction d'un LAN tel que décrit plus haut indépendante de l'infrastructure physique. Cette technologie s'intègre pleinement dans les marchés des environnements virtualisés, des déploiements de réseaux sans fil, de la VoIP, des passerelles Internet d'entreprise et familiales.

Comment sécuriser un environnement MS Exchange 2003 server

Introduction

La sécurité au niveau du serveur Exchange 2003 implique une combinaison de politique, de configuration, et de pratiques. Avec n'importe quel type de système, ces aspects exigent la planification, la conception, et les testes. Ceci inclut, le développement des politiques de sécurité concernant la transmission de messages, standardiser les mécanismes de Windows Server 2003 et du serveur Exchange 2003.

1. Comment évaluer les risques

Une considération principale pour la sécurité est le risque et les coûts liés à sécuriser l'information. Ce n'est pas simplement de déterminer la valeur monétaire de l'information mais également les différents types de risques et de la valeur de l'information. Demandez-vous combien cela va coûter à l'organisation si l'information était détruite, changée, ou volée.
Ce n'est pas une tâche facile ; en fait, elle est souvent intimidante. Tandis que des valeurs monétaires peuvent facilement être associées à quelques types d'information, d’autres informations peuvent être presque impossible à évaluer. La chose importante à se rappeler est qu'il est essentiel de sécuriser vos ressources et un équilibre doit être fait entre le coût de sécuriser l'information avec la valeur de l'information.
Une fois que le processus d'évaluation est lancé, il est important de commencer à analyser des vulnérabilités possibles de sécurité pour le service ou la fonctionnalité que l'organisation offre. Ce qui suit sont certains des risques de sécurité à étudier et protéger contre pour Exchange Server 2003 :
Déni de service : Un Déni de service, ou le DOS (denial of service), se produit quand un utilisateur effectue avec malveillance une certaine action qui cause une interruption de service. L'interruption peut affecter les utilisateurs visés ou le serveur en entier. Un exemple pourrait être le « ping of death » ou un en-tête particulier d'un email qui consomme tout le temps processeur du serveur Exchange.
Virus ou messages de cheval de troie : Les virus, les vers d'email, et les messages de cheval de troie sont le fléau du monde des transmissions de messages. Ils peuvent causer beaucoup de perte de temps en productivité, et peut être un travail à temps plein. Heureusement, le serveur Exchange 2003 a les nombreux dispositifs qui aident les administrateurs et les fournisseurs d'antivirus à combattre ce problème.
Spam : Malheureusement, les emails non sollicité (Spam) sont destinés à être une partie de la vie de la communauté de transmission de messages pour longtemps — si ce n'est pour toujours. Il force le matériel non désiré et fréquemment répréhensible dans les boites de réceptions des utilisateurs, coûtant aux utilisateurs d'Internet des milliards de dollars par an. La raison est simple : Le Spam est une manière bon marché pour que les mass-marketers envoient leur message à un trés grand nombre de personnes.
Attaques intentionnelles : Ces attaques visent habituellement un système spécifique de transmission de messages. Les attaques peuvent se produire pour perturber des opérations commerciales normales ou pour compromettre une vulnérabilité connue dans le système de la transmission de messages de la compagnie. L'administrateur devrait considérer que quelques attaques intentionnelles sont employées pour focaliser l'attention loin de la « vraie » attaque.
Spoofing de messages : Le Spoofing de messages est une tactique employée par beaucoup de vers d'email, tels que KLEZ et BugBear, aussi bien que quelques attaques intentionnelles par les utilisateurs malveillants. Le Spoofing de messages change les en-têtes smtp de sorte que le courrier provienne d'un serveur d'adresse différent ou de serveur de messagerie. Ces messages sont parfois difficiles et demande du temps pour être dépanner/identifier. 

Installation et configuration de MRTG

1 Présentation de MRTG


MRTG (Multi Router Traffic Grapher) a pour but de créer des graphiques à partir de données récoltées par différentes sources, dont le protocole SNMP (Simple Network Management Protocol), qui est utilisé pour gérer des équipements informatiques. La mise en place de MRTG permet de mettre en place une surveillance et un monitoring sur un réseau, même hétérogène.

1.1 Installation de SNMP

Le système de gestion de réseau est basé sur deux éléments principaux : un superviseur et des agents.
Le superviseur est la console qui permet à l'administrateur réseau d'exécuter des requêtes de management.
Les agents sont des entités qui se trouvent au niveau de chaque interface connectant l'équipement managé au réseau et permettant de récupérer des informations sur différents objets.
l'installation se fait simplement grâce à yum :
$ su -c 'yum install net-snmp net-snmp-utils'

1.2 Configuration de SNMP

Le fichier de configuration de SNMP est /etc/snmp/snmpd.conf, commençons donc par faire une sauvegarde de ce fichier, en tant que root :
# cp /etc/snmp/snmpd.conf /etc/snmp/snmpd.conf.save
Nous allons pouvoir maintenant appliquer une nouvelle configuration  en remplaçant le fichier par ces lignes ( en les personnalisant bien  entendu en fonction de vos besoins ). 

Installation et configuration de Cacti

1 Présentation de CACTI

Cacti est un logiciel de supervision (dit de « capacity planning ») basé sur RRDtool permettant de surveiller l’activité de son architecture informatique à partir de graphiques quotidiens, hebdomadaires, mensuels et annuels.
J'utilise toujours Cacti sur les serveurs que je gère car c'est un outil très fonctionnel, ergonomique grâce à son interface web et surtout personnalisable à souhait.
Voyons un peu comment mettre en place cette petite merveille de Cacti ...

2 Installation

Pas de surprise ! le paquet est disponible via notre yum préféré :
$ su -c 'yum install cacti'
Les utilisateurs de CentOS devront ajouter le dépot RpmForge
L'installation de Cacti se déroule dans le répertoire /var/www/cacti/. Pour fonctionner, nous allons avoir besoin d'un serveur web Apache ou lighttpd avec le support de PHP, d'un serveur MySql, de RRDtool, et de Net-SNMP.

Configurer du serveur OpenSSH sous Linux Redhat

SSH a pour but de remplacer les utilitaires de connexion classiques n'utilisant pas de chiffrage: rcp, rlogin, rsh, telnet, ftp.

Les services offert par SSH sont:

- La confidentialité: le cryptage des paquets permet de garantir celle-ci.
- L'intégrité: SSH permet de garantir que les paquets circulant d'un hôte vers un autre ne sont pas altérés.
- L'authentification: chaque connexion ssh vérifie l'identité du serveur puis celle du client par mot de passe ou clé publique.

L'authentification par clé:
- Clé publique: exportée sur le serveur.
- Clé privé: permet de prouver l'identité du client.
- Une passphrase qui permet de sécuriser la clé privée.

Le SSH utilise deux types de clé: RSA et DSA à 1024, 2048 ou 4096 bits.

lundi 27 juin 2011

Quelques mécanismes cryptographiques

Ci-dessous vous trouverez une présentation de quelques mécanismes liés à la cryptologie:
- Algorithme symétrique (à clé secrète): la même clé utilisée pour chiffrer et déchiffrer.
- Algorithme asymétrique (à clé publique): un message chiffré avec une clé publique donnée ne peut être déchiffré qu'avec la clé privée correspondante.

Algorithmes à clé secrète (Symétrique):
- Stream cipher: algorithme de chiffrement en continue, chiffrement bit à bit (RC4)
- Block cipher: algorithme de chiffrement par bloc de texte clair (64bits): AES, DES, 3DES, Blowfish...
Les algorithmes à clé secrète se caractérisent par la rapidité mais pose un problème au niveau de la distribution des clés.

Configuration de SSH sur un switch/routeur Cisco

SSH est un protocole qui permet de se connecter à une machine distante avec une liaison sécurisée. Les données sont cryptées entre machines et ce afin d'exécuter des commandes sur un routeur, switch ou serveur distant en toute sécurité, voici comment le mettre ne place sur un routeur ou switch cisco:
SW(config)#username aziz password cisco
Commande qui spécifie le nom d'utilisateur et le mot de passe à utiliser lors de la connexion à l'équipement avec ssh.
SW(config)#ip domain-name cisco.com
Commande qui spécifie le domaine qui va gérer la clé de cryptage. 
SW(config)#crypto key generate rsa
La clé générée est de type rsa, apèrs la validation, un message apparut qui vous permet de choisir la longueur de la clé, par exemple: 1024bits
SW(config)#ip ssh version 2
Commande qui spécifie la version de ssh à utiliser sur cet équipement.
SW(config)#line vty 0 4
 Choisir les lignes vty sur lesquelles nous allons utiliser ssh
SW(config)#transport input ssh
SW(config)#login local
Commande qui exige à l'équipement réseau de n'utiliser que le protocole ssh (donc pas de telnet) comme protocole de connexion à distance puis utiliser la base de données locale pour authentifier les utilisateurs.

Il ne vous reste que d'utiliser votre client ssh préféré (Putty, SecureCRT,...) pour se connecter à un équipement cisco en toute sécurité.

Terminologie Active Directory

Ci-dessous vous trouverez quelques définitions des termes liés aux fameux annuaire de Microsoft: Active Directory

- Contrôleur de domaine: c'est un ordinateur qui contient un exemple de la base de données d'annuaire.
- Serveur membre: serveur qui fait parti du domaine, mais qui n'est pas contrôleur du domaine.
- Annuaire: base de données qui contient des informations sur les différents objets et liens gérés au niveau du domaine.
- Service d'annuaire: c'est un service réseau qui permet d'utiliser l'annuaire Active Directory sous windows server 200x.
- Active Directory: comprend l'annuaire qui stocke les données relatives aux ressources réseau comme les données utilisateurs, les imprimantes, les serveurs, les bases de données, les groupes, les ordinateurs et les stratégies de sécurité.
- Objet Active Directory: entité gérée par AD, par exemple: ordinateurs, utilisateurs, groupes...
- Conteneurs: objets qui peuvent contenir d'autres objets: domaine, unités d'organisation.
- Arbre: ensemble d'un ou plusieurs domaines windows server 200x hiérarchisés permettant un partage global des ressources de chaque domaine.
- Forêt: regroupement d'arbres indépendantes, mais elle permet une communication entre les différents arbres de la forêt.

dimanche 26 juin 2011

Rôles FSMO

Dans un environnement de domaine Windows Server 2003, les contrôleurs de domaine contiennent une réplique de la base de données Active Directory. Ce système de réplication est dit multimaitre car chaque contrôleur de domaine a la possibilité de modifier cette base de données et de transmettre ces modifications aux autres contrôleurs de domaine afin que tous possèdent la même base de données Active Directory.

Dans un domaine Windows 2000 server et Windows Server 2003, il existe 5 rôles FSMO. Ces rôles n'existaient pas sous Windows NT4 car les domaines NT4 disposaient d'une structure de mise à jour hiérarchique. Ces 5 rôles sont nécessaires au bon fonctionnement de vos domaines/forêts. Chacun de ces rôles ne peut être hébergé que par des contrôleurs de domaine et non par des serveurs membres. Ils ont également des étendues différentes et des domaines de réplication différents. On distingue parmi les 5 rôles :

1.    Rôle FSMO Contrôleur de schéma
Le détenteur du rôle FSMO Contrôleur de schéma est le contrôleur de domaine chargé d'effectuer les mises à jour vers le schéma d'annuaire (c'est-à-dire, du contexte de nommage du schéma ou LDAP://cn=schema,cn=configuration,dc=). Ce contrôleur de domaine est le seul à pouvoir traiter les mises à jour vers le schéma de l'annuaire. Une fois la mise à jour du schéma terminée, elle est répliquée du contrôleur de schéma sur tous les autres contrôleurs de domaine de l'annuaire. Il existe un seul contrôleur de schéma par annuaire.

Mise en place d'une serveur DHCP sous windows server 2003



DHCP est une extension du protocole BOOTP qui permet à un client sans disque dur (terminal X, imprimante, etc.) de démarrer et de configurer automatiquement TCP/IP.

L'objectif du protocole DHCP est de permettre à un client d'obtenir une adresse IP (et d'autres paramètres éventuellement) auprès d'un serveur DHCP.

L'obtention d'une adresse IP se fait en 4 étapes :
-   Demande de bail IP par le client.
-   Offre de bail IP par un serveur.
-   Sélection d'une offre par le client.
-   Accusé de réception de bail IP par le serveur.
Phase 1 : Demande de bail IP par le client
         Initialisation du client avec une version limitée de TCP/IP
         Le client diffuse  une demande d'adresse IP (message DhcpDiscover) avec :
         source 0.0.0.0
         destination 255.255.255.255

Phase 2 : Offre de bail par un serveur
Tous les serveurs reçoivent la demande (sur le port UDP 67). S'ils sont configurés pour répondre (message DhcpOffer), ils diffusent une offre avec les informations suivantes :
         L'adresse MAC du client
         Une adresse IP
         Un masque de sous-réseau
         Une durée de bail
         Son adresse IP (pour la phase 3)

Vu d'ensemble des réseaux TCP/IP

Un protocole est un ensemble de règles permettant à plusieurs ordinateurs de communiquer entre eux.
Imaginez deux humains parlant l'un l'arabe 'pure marocaine :) ' et l'autre le berbere 'tamazight'...et bien le protocole de communication pourrait être le language des signes ou bien le dessin et bien c'est la même chose pour les ordinateurs.

Le terme TCP/IP bien que signifiant Transmission Controll Protocol / Internet Protocol recouvre un grand nombre de protocoles tels que l'UDP, le FTP, HTTP etc...
Un réseau utilisant le TCP/IP est appelé "réseau linternet TCP/IP"

En effet un réseau internet TCP/IP n'est pas forcement relié à d'autres réseaux tandis que Internet avec un 'I' relie un nombre énorme de réseaux à travers tous les continents...
Quand on parle d'intranets on entend par là des réseaux privés d'entreprises utilisant les services de l'Internet comme le http...(un mini Internet quoi :) )

Installer un serveur 2003 sur Active Directory 2000

Cet article va vous montrer comment installer un Windows 2003 Server en tant que controleur de domaine
supplémentaire sur un domaine existant géré par un contrôleur principal de domaine windows 2000 Server.

Pour installer un Windows 2003 Serveur en controleur de domaine supplémentaire sur un domaine existant géré par un Contrôleur principal de domaine Windows 2000 Server, il faut impérativement préparer l'Active Directory de ce dernier pour autoriser le contrôleur de domaine supplémentaire.

Lorsque vous souhaitez ajouter un contrôleur de domaine supplémentaire Windows 2003 Serveur sur un domaine géré par un contrôleur principal de domaine en Windows 2000 Server via la commande « dcpromo », vous aurez l’erreur suivante:


La cause du problème est que Winnt32.exe et Dcpromo.exe enregistrent ces erreurs lorsque l'outil de préparation d'Active Directory n'a pas été exécuté sur le maître d'opérations de schéma ni sur le maître d'infrastructure dans le domaine cible.

Le hacking : Les termes techniques

Le piratage augmente au fil du temps, et les termes techniques s'accumulent... voici quelques définitions:

Buffer Overrun
Une attaque dans laquelle un utilisateur malicieux exploite un buffer non surveillé dans un programme et en écrase les données avec ses propres données. Si le code du programme est écrasé avec un code exécutable, l'effet est de changer le fonctionnement du programme de base. Si les données ne formant pas un code exécutable, l'effet est de planter le programme d'origine.

Cookie
Petit fichier de données stocké sur la machine de l'utilisateur contenant des information pertinentes sur l'utilisateur par rapport à son comportement vis-à-vis d'un site web. Par exemple, un cookie peut contenir l'historique d'achats sur un site particulier afin de cibler ses intérêts.

Denial of service
Condition pour laquelle les utilisateurs sont délibérément empêchés d'utiliser les ressources d'un réseau.

Globally-unique Identifier (GUID)
Un nombre unique assigné à une session ou à un utilisateur afin de l'identifier.

Introduction aux routeurs Cisco

La technologie Cisco est élaborée autour de la plate-forme logicielle Cisco IOS, c'est-à-dire le logiciel qui contrôle les fonctions de routage et de commutation des équipements réseau : Cisco Internetwork Operating System ou Cisco IOS. C'est l'architecture logicielle qui est incorporée dans tous les routeurs Cisco et qui constitue également le système d'exploitation des commutateurs Catalyst.
L'IOS utilise une interface de commande en ligne (CLI) comme environnement de console traditionnel. Cet environnement est accessible de différentes façons. La session en mode console permet d'accéder à l'interface de commande en ligne. La console se connecte alors directement à la connexion de console du routeur à partir d'un ordinateur ou d'un terminal, via une liaison série basse vitesse. L'autre façon d'accéder à l'interface de commande en ligne CLI consiste à utiliser une connexion à accès commuté au moyen d'un modem ou d'un null modem connecté au port AUX du routeur. Aucune de ces méthodes ne nécessite la configuration de services réseau sur le routeur. Une autre méthode consiste à établir une connexion Telnet avec le routeur. Pour cela, au moins une interface doit être configurée avec une adresse IP, et des sessions de terminal virtuelles doivent être configurées pour la connexion et les mots de passe.

Configuration de base d'un routeur cisco

Nous avons vu dans l'introduction aux routeurs Cisco que l'IOS sépare les sessions d'exécution en deux niveaux d'accès, le mode utilisateur et le mode privilégié.
Une fois dans le mode privilégié, toutes les modifications de la configuration de l'interface de commande en ligne (CLI) apportées sur un routeur Cisco sont effectuées en mode de configuration globale. D'autres modes spécifiques sont activés en fonction de la modification de configuration requise, mais ces modes sont tous des sous-ensembles du mode de configuration globale.

Pour passer au mode de configuration globale "simple" :
Router>en (Abreviation de enable)
Router#conf t (Abreviation de configure terminal)
Router(config)#...