Sécurité Informatique

Vous recevez du spam….alors il est déjà trop tard, vous êtes dans la liste des spammeurs.

Vous n’en recevez pas encore et souhaitez ne pas en recevoir, alors vous pouvez utilisez une adresse jetable…

2 types sont disponibles :

• Une adresse temporaire accessible par un lien
• Une adresse temporaire qui effectue un transfert sur votre adresse existante

Pour le premier type, il existe  Temporary Inbox qui s’installe directement comme add-on pour Firefox.

Pour une adresse de type “forwarder”  il existe  jetable.org (en français) ou encore spamhole qui redirige les emails dans votre messagerie personnelle.

Le cahier des charges et le protocole de tests sont les suivants :

L’objectif est d’implémenter un NAC pour 2 utilisations particulières de mon entreprise :

• • Nos salles de conférences : nous accueillons régulièrement des conférences internationales, et nous offrons un accès Internet aux visiteurs via un wifi ou un accès filaire. Dans ce cadre, étant donné que ce sont des machines que nous ne maîtrisons pas dans un environnement partagé, nous souhaitons que les machines des visiteurs ne soient pas infectés par d’autres machines visiteurs.
  • Dans le réseau interne : une bonne partie du personnel est “nomade” et possède un portable qu’il vient brancher périodiquement sur le réseau interne. Nous souhaitons donc analyser la machine avant de la basculer sur le réseau interne. Ce sont des machines que nous maîtrisons, ie qui sont inscrites dans notre domaine Active Directory avec des certificats.

L’installation et la configuration de l’appliance Counteract s’est effectuée avec l’aide du fournisseur.

Etant déjà habitué au produit Forescout (nous avons un IPS ActiveScout depuis plus de 3 ans), j’ai retrouvé une interface d’administration très bien construite et relativement user-friendly.

La configuration de la machine est très rapide : Une IP de management avec les infos réseau habituelles, puis téléchargement de l’interface de management en https.

2 modes sont disponibles : un mode “Ecoute” et un mode “Interactif”.

Dans le mode Interactif, la sonde possède un port ethernet sur le(s) VLAN(s) à surveiller (possibilité de faire du trunking), et un port d’injection sur les VLANs où la sonde interagit.

La façon dont l’architecture du réseau est construite implique une réflexion sur le positionnement de la sonde (réflexion devant être faite quelque soit le système NAC à installer) : pour être pleinement opérationnelle, la sonde doit pouvoir observer tout le trafic entrant et sortant de la machine cible.

Nous possédons un réseau entièrement routé avec un découpement par VLAN et donc un sacré casse-tête pour effectuer une écoute du trafic. Qu’importe, la souplesse de la sonde Counteract permet de s’affranchir de ces obstacles.

Read the rest of this entry »

Tout comme la commande TCPdump, la commande “fw monitor” permet une inspection des paquets traversant les firewalls Checkpoint.

2 raisons principales d’utiliser cette commande, présente sur toutes les platerformes Checkpoint, plutôt que TCPdump :

1. 1. Sécurité accrue : à l’instar de TCPdump, fw monitor ne travaille pas en “promiscuous mode”, ce mode étant vulnérable à des attaques distantes.
   2. Inspection détaillée : fw monitor permet l’inspection des paquets, au niveau kernel, et à différents points de la chaine de filtrage.

Je ne vais pas rentrer dans le détail complet de la commande, mais seulement quelques paramètres utiles dans le cadre de debugging.

#fw monitor -h
Usage: fw monitor [- u|s] [-i] [-d] [-T] <{-e expr}+|-f <filter-file|->> [-l len] [-m mask] [-x offset[,len]] [-o <file>] <[-pi pos] [-pI pos] [-po pos] [-pO pos] | -p all [-a ]> [-ci count] [-co count]

Voici à quoi ressemble une sortie de fw monitor :

eth-s4p1c0:i[40]: 10.73.156.159 -> 10.73.252.3 (TCP) len=40 id=27240
TCP: 4576 -> 22 ….A. seq=2faa82e3 ack=0ae66a7f
eth-s4p1c0:I[40]: 10.73.156.159 -> 10.73.252.3 (TCP) len=40 id=27240
TCP: 4576 -> 22 ….A. seq=2faa82e3 ack=0ae66a7f
eth-s4p1c0:o[1420]: 10.73.252.3 -> 10.73.156.159 (TCP) len=1420 id=4929
TCP: 22 -> 4576 ….A. seq=0ae66a7f ack=2faa82e3
eth-s4p1c0:O[1420]: 10.73.252.3 -> 10.73.156.159 (TCP) len=1420 id=4929
TCP: 22 -> 4576 ….A. seq=0ae66a7f ack=2faa82e3

Read the rest of this entry »

Si comme moi, vous avez des enfants qui utilisent Internet et souhaitez limiter l’accès aux sites “adultes”, voici une solution gratuite et très facile à mettre en place : BlueCoat K9 Web protection.

Bluecoat fournit des solutions professionnelles de cache et proxy pour l’industrie. A côté de cela, Bluecoat a développé une solution de contrôle parentale gratuite pour le particulier et très efficace.

Petit point faible : cette solution n’est disponible qu’en anglais, mais étant donné la simplicité d’utilisation, ça n’est pas vraiment un obstacle.

En cas d’accès à une page non autorisée, une redirection est effectuée sur la page suivante :

Read the rest of this entry »

• Les enregistrements SPF

Pourquoi un enregistrement SPF ?

Un enregistrement SPF est un enregistrement DNS type TXT qui renseigne sur les passerelles SMTP autorisées à envoyer des mails pour un domaine donné.

Ex : le domaine “domain.xyz” utilise la passerelle SMTP suivante “smtp.domain.xyz” pour envoyer ses emails, et uniquement celle-çi.

L’enregistrement SPF consiste à indiquer que seul smtp.domain.xyz envoie des emails avec pour expéditeur *@domain.xyz.

Cet enregistrement peut alors être utilisé par la passerelle de destination selon le schéma suivant :

• Réception sur smtp.cible.xyz d’un email envoyé par toto@domain.xyz
• smtp.cible.xyz interroge les DNS pour savoir si “domain.xyz” possède un enregistrement SPF (ce qui est le cas ici)
• L’enregistrement indique que cet email ne peut venir que de la machine smtp.domain.xyz
• Si c’est le cas, le mail est traité par la passerelle; dans le cas contraire le mail est rejeté.
• Si l’enregistrement SPF n’existe pas, le mail sera traité par la passerelle, mais peut-être avec des règles de filtrage plus strictes.

L’enregistrement SPF pour le domaine “domain.xyz” sera le suivant :

“v=spf1 a:smtp.domain.xyz ~all”

ou encore “v=spf1 mx ~all“

Dans le premier cas, on indique que seul (~all) le serveur smtp.domain.xyz envoie des emails venant du domaine “domain.xyz”.

Le deuxième cas, équivalent au premier, indique que seul le(s) serveur(s) enregistré(s) comme MX du domaine sont habilités à envoyer ces emails.

Vous pouvez consulter le site OpenSPF qui possède un wizard pour créer ses enregistrements SPF.

D’autres techniques similaires existent comme le SenderID de Microsoft ou le DKIM de Yahoo et Cisco, plutôt basé sur des certificats, mais ces systèmes sont plus lourds à mettre en place.

Point faible : ces systèmes sont efficaces seulement si tout le monde joue le jeu.

A suivre…

Bien configurer sa passerelle SMTP : les points à suivre.

J’occupe actuellement à un poste d’administrateur réseau où je gère aussi bien le réseau LAN WAN, la sécurité, ainsi que les passerelles SMTP (Routage SMTP, Filtrage virus et spams).

Les différents points expliqués par la suite sont ceux que j’applique dans la société pour laquelle je travaille.

Le flux mail représente environ 50′000 mails / jour pour environ 400 boîtes aux lettres.

Les enregistrements DNS

• Les MX Records

Un domaine doit posséder des MX records pour recevoir des emails : les MX records renseignent les serveurs distants sur quel hostname/IP envoyer les emails.

Admettons que le domaine soit “mydomain.xyz“, un enregistrement MX sera du type :

mydomain.xyz MX 10 smtp.mydomain.xyz

“10″ représente la priorité du serveur : admettons qu’il existe une 2ème passerelle SMTP, un enregistrement avec une priorité 20 indique qu’il est possible d’envoyer des emails vers cette passerelle, mais l’envoi doit se faire en priorité sur la passerelle d’un poids inférieur.

smtp.domain.xyz représente le hostname de la gateway SMTP du domaine. Evidemment, ce serveur doit avoir un enregistrement DNS type A, qui renseigne sur son adresse IP .

A savoir : la passerelle de priorité 20 recevra principalement du spam et très peu de mails utiles. Cela fait partie des techniques des spammeurs qui envoient sur les passerelles secondaires, car celles-ci sont parfois moins bien configurés ou un peu oubliés par l’administrateur.

• Le Reverse DNS

Toute passerelle SMTP doit posséder un enregistrement PTR permettant d’effectuer une vérification type ReverseDNS.

Exemple : Une gateway SMTP possède l’enregistrement type A suivant :

smtp.domain.xyz IN A 1.2.3.4

L’enregistrement PTR correspondant sera du type :

4.3.2.1.in-addr.arpa smtp.domain.xyz

Il est important et même nécessaire d’avoir un enregistrement PTR pour tout les serveurs MX.

Actuellement, mes systèmes sont configurés pour rejeter tout serveur ne possédant pas d’enregistrement PTR. Ceci pour la raison suivante : contrairement à l’administrateur d’un site légal, un spammeur utilisant des techniques de spoofing n’a pas la possibilité (administrative) d’enregistrer un PTR pour un domaine qu’il ne possède pas.

A suivre…

Backtrack 2.0 est sorti ce mois en version stable.

Ce liveCD est le couteau suisse pour tous les professionnels de la sécurité. Il permet d’effectuer des tests d’audits, de reconnaissances, de pénétrations…

Une série d’articles suivront concernant l’utilisation de cette distribution, et pour illustrer le tout, quelques techniques de pénétration afin d’éprouver la sécurité de votre réseau.

Voici un petit utilitaire très utile pour tester son serveur Radius : NTRadPing. Cet utilitaire gratuit, très simple d’emploi, permet de tester son serveur d’authentification Radius.

ATTENTION : Penser à autoriser sa machine à faire des requêtes sur le serveur Radius.