Le bilan

Nouveau venu dans les ransomware efficace: notpeyta

Nous allons regarder comment fonctionne peyta et essayer de tirer les enseignement du type de propagation et sécuriser nos réseau en conséquence…

Article Microsoft qui détail l’attaque :

https://blogs.technet.microsoft.com/mmpc/2017/06/27/new-ransomware-old-techniques-petya-adds-worm-capabilities/

Lorsque notpeyta réussi a infecter un poste, il tente de récupérer les mot de passe de la machine pour se propager sur les autre postes avec psexec via les partages administratif ouvert sur les autres postes.

On va voir dans ce post différente solutions pour bloquer cela.

Désactiver les partages administratifs

Une méthode pour bloquer ce type de propagation est avant toute chose de supprimer les partages administratif ouvert sur les postes.
Un paquet de mon dépôt fait cela : https://wapt.lesfourmisduweb.org/tous-les-packages?recherche=smp-disabling-administrative

Mettre en place le pvlan

Une autre méthode est de mettre en place le pvlan sur les switch votre réseau. En effet, en règle général les postes n’ont aucune raison de se voir entre eux. Plus d’information : https://fr.wikipedia.org/wiki/VLAN_priv%C3%A9

Activer LAPS

Une  recommandation  également est d’activer laps sur votre réseau.
En effet nous utilisons malheureusement régulièrement pour des raison de facilitée les même mot de passe administrateur locaux sur tous les postes …  Si ce mot de passe est compromis c’est toute la sécurités de réseau qui est compromise. Laps permet donc de gérer automatiquement le mot de passe du compte « Administrateur » local de toutes les machines de votre domaine. Le mot de passe est changée régulièrement et deviens unique a chaque machine. Il est ensuite stockée dans un attribut spécifique sécurisée dans l’active directory.

• Mettre en place laps sur un active directory microsoft windows server
• Mettre en place laps avec un samba4

Règles parfeu

Globalement, sur un client windows, il n’y a aucune raison pour qu’un port soit en écoute.sur celle-ci… C’est le meilleur moyen de limiter un attaque latérale. D’ailleurs, la prochaine version de wapt va se séparer de son port d’écoute 8088 pour basculer sur du websocket !

J’ai donc fait un paquet wapt qui bloque les différents port de windows ouvert par défaut sans réelle raison pour moi …

Paquet wapt –> smp-add-rules-block-firewall

Petite présentation rapide du produit même si plusieurs blog en parlent déjà.

Guacamole permet de proposer à vos utilisateurs une interface centralisée (web) pour des connections RDP, VNC, ssh.  Dans notre cas c’est surtout le remplacement d’une connexion RDP (trop vulnérable aux attaques) qui nous intéresse. Il peut être pratique par exemple pour proposer une alternative aux connections VPN.

Le but est de fournir à l’utilisateur une connexion RDP à un serveur TSE au travers d’une interface web.  Vous n’êtes donc plus dépendants d’un OS, l’utilisateur peut être sous, Windows, Linux ou Mac (potentiellement tablette et smartphone également). La connexion RDP sera affichée à travers le navigateur web en HTML5.

Guacamole peut être couplée a un LDAP/ActiveDirectory pour l’authentification. Il est également recommandé d’activer l’authentification double facteur pour plus de sécurité (SMS par exemple). Mettre en place un fail2ban pour bannir une IP en cas de trop nombreuses tentatives de connections échouées est recommandé.

Guacamole permet également de partager un écran. Vous pouvez partager votre écran guacamole en partageant un lien, puis définir si les utilisateurs connectés via ce lien pourront contrôler la machine ou non. Cela peut être très pratique pour faire des démos de produit par exemple.

Je propose guacamole pour  une alternative au VPN mais il peut également être une excellente solution dans une école pour proposer un accès à des applications Linux sur des postes windows et inversement !

Petite vidéo:

Petite mise à jour, et conseils de sécurité pour vos réseaux. Je suis conscient que tout n’est pas applicable.

Préconisations pour les attaques frontales internet:

• Vérifiez vos règles de parfeu sur votre fwall
• Toute application disponible sur internet doit être dans une DMZ, cela permet de limiter les dégâts si celui-ci se fait hacker. Le hacker pourra donc plus difficilement faire un rebond vers l’intérieur.
• Mise en place de fail2ban sur les services disponibles depuis l’extérieur.
• Mise en place de l’https pour éviter que les mots de passe ne transitent en clair sur les réseaux (facile avec let’s encrypt ) puis forcer le passage par l’https.

Préconisations pour la sécurité des postes utilisateurs:

• Vos logiciels doivent être à jour !! –> Avec WAPT
• Vos postes windows doivent également être à jour ! (au moins les correctifs de sécurité ! )
• Vos serveurs linux doivent également être à jour.
• Les services (logiciels) installés sur vos serveurs doivent également être à jour.
• Vous devez mettre en place le SRP ! (stratégie de restriction logiciel)
  • Dans l’idéal un utilisateur ne doit pas pouvoir exécuter quelque chose dans un dossier où il a l’accès en écriture
• Désactiver les macros dans Microsoft Office et Libre Office ou les sécuriser.
• Désactiver l’exécution des js dans les lecteurs pdf (Adobe Reader)
• Bloquer avec le Firewall (Winfows ?) les ports de la machine laissés ouverts inutilement.

Préconisations sur le téléchargement d’éléments dangereux :

• Filtrer les pièces jointes dangereuses sur votre système d’email
• Mettre un système de proxy filtrant obligatoire.
  (impossibilité pour les utilisateurs de sortir directement sur internet)
• Dans l’idéal mettre en place un snort sur le fwall pour snifer et analyser les trams et bloquer les comportements étranges.

Préconisations pour limiter les dégâts dans le cas où un ransomware a réussi a débuter une attaque:

• Pour serveur de fichiers (samba) , limitation des dégâts pour ransomware:
  • Mettre en place un audit de suppression des fichiers, avec samba : vfs objects = full_audit
  • Mettre en place un fail2ban qui analyse les logs audit samba
  • Mettre en place un fichier detecte_ransomware.doc sur le serveur de fichiers.
  • Dans les deux cas: si un comportement étrange est détecté (extension étrange ou suppression du fichier de détection)  , le fail2ban peut enclencher une action pour stopper l’attaque !
  • Ne pas donner aux utilisateurs plus d’accès que nécessaire aux différentes ressources. (Faire le tri dans les droits d’accès des utilisateurs) pour limiter les dégâts.
  • Bien évidement avoir des sauvegardes fonctionnelles !

Préconisation pour les administrateurs réseaux:

• Ne jamais utiliser un compte membre du groupe « domain admins » ! Faire un groupe uniquement administrateurs des postes.
• Vos utilisateurs ne doivent bien évidemment pas être administrateurs de leur poste ni membres du groupe domain admins…

Sécurisation physique du poste de travail :

• Dans le bios: Bloquer le démarrage sur le disque dur directement.
• Bloquer l’accès bios par un mot de passe
• Bloquer l’accès matériel (accès a la carte mère), sinon il devient facile de faire un reset mot de passe du bios…

Sécuriser l’accès physique aux différents éléments actifs du réseau :

• On parle ici de bloquer physiquement l’accès avec une porte et une clé ou autre… 

Sécurisation de l’accès au réseau:

• Mise en place de 802.1X pour bloquer l’accès au réseau aux postes (pc portable) non autorisé.
• Même chose pour le wifi !

Communication utilisateurs  :

• Il faut communiquer les risques aux utilisateurs !  Pour qu’ils soient méfiants !

Veille Techno :

• Tenez-vous au courant à travers les différents articles du net! La faille qu’utilise Wannacrypt a été rendue publique une semaine avant l’attaque de grande ampleur !
• Analyser les contenus bloqués par votre système d’email ou proxy. Mieux connaître son ennemi pour mieux se préparer aux attaques ! Votre système a bloqué une attaque, bloquera t-il les prochaines ?

Pour ceux qui l’auraient loupée, on a fait un live youtube wapt pour fêter les 200000 postes administrées avec wapt ! Au passage on vous montre les nouvelles features, on vous parle des futures évolution et on répond a vos questions !

Petit article vite fait pour vous faire découvrir une solution simple et efficace.
On est en règle général tous d’accord pour dire qu’iptables est une solution fiable et efficace mais dont la syntaxe est imbuvable.

J’ai découvert Shorewall a mon nouveau boulot chez tranquilit
Shorewall est une surcouche a iptables ,  permettant de simplifier celui-ci.

J’aime de plus en plus les solutions sans fioriture, pas d’interface web, le tous se résume en quelques fichiers de conf qui deviennent simple a « backuper ».

Le problème avec les solutions tout empaqueter comme pfsense (je ne crache pas sur pfsense non plus) c’est qu’on ne sait pas trop ce qui se passe derrière. J’aime pas trop ça pour débugger c’est pas le top.

L’autre avantage de prendre une solution baser sur linux c’est que vous n’êtes pas lier a un matériel comme sonicwall ou cisco par exemple, et pas de licence …

Bref je vous laisser tester ! Je trouve que ça vaut le coup !

Salut ça fait longtemps !      Aujourd’hui un article wapt, ça change ^^

Je vous propose de manager wapt de manière différente. On va oublier 30 secondes la console et on va créer un paquet wapt qui va installer des paquetwapt…

Avant WAPT, j’utilisais WPKG. Et ce que j’aimais bien faire c’était gérer les paquets à installer en fonction du nom des postes.

On va faire la même chose avec wapt. Le principe de fonctionnement est le suivant: J’installe sur tous mes postes un paquet wapt nommé tis-all-in-on-package

Et dans ce paquet je définis la liste paquets wapt à installer, supprimer ou oublier. en fonction de différents tests.

J’ai donc fait un paquet wapt d’exemple  ici :
https://wapt.lesfourmisduweb.org/tous-les-packages?recherche=smp-all-in-one-package

Il inclut un certain nombre d’exemples que vous pouvez reproduire !

Je peux donc aller aussi loin que python me le permet dans la finesse de choix des paquets à installer.  Lorsque l’on a un gros parc, c’est quelque chose de très pratique. Un seul paquet wapt gère l’ensemble du parc.

Je sais que certain d’entre vous aimerait gérer la liste des logiciels àge installer en fonction des OU présente dans l’ad. Avec ceci cela pourrait être possible

Bonjour

Dernière petite nouveauté pour mon dépôt.
Avant, pour savoir que je devais faire un paquet wapt je devais m’amuser à aller vérifier les sites à la main et c’était un peu au petit Bonheur la chance ou alors je devais attendre qu’un utilisateur m’indique une mise à jour.

J’ai donc fait un petit script qui va surfer et vérifier à ma place toutes les heures si une mise à jour est disponible et va ensuite m’envoyer un email si la version a changé depuis la dernière fois.

Je ne vais pas publier ce script car vraiment il n’est pas très propre et au prochain changement de design des sites, tout peut sauter. Je modifierais donc en conséquence

En revanche, vous avez ici :
https://wapt.lesfourmisduweb.org/wapt/resultupdate.json

…la sortie du script, et vous pouvez donc l’exploiter si vous le souhaitez.

Edit 2019: Je viens de mettre en place un bot twitter qui tweet les mises à jours dispo, c’est dispo ici : https://twitter.com/patchmanagement

Chose promise !

Voici mon tuto pour l’authentification wifi, freeradius/squid/squidguard

https://wiki.lesfourmisduweb.org/radius_wifi.html

Encore un petit article pour un petit souci que j’ai rencontrée.
dans mon établissement où nous avons montée un owncloud. Le owncloud est très pratique pour les enseignants et élèves à l’extérieur. Avec le client installé à l’extérieur sur le poste personnel des enseignants c’est parfait.
En revanche, en interne, c’est plus compliqué. J’ai d’abord pensé à faire un partage samba pour ensuite monter un lecteur réseau sur la session, mais au niveau des droits entre samba et owncloud c’est un peu plus compliqué.

Une solution plus simple s’offre donc à moi. Le webdav !
Sous windows, une fois montée, le webdav se comporte comme un lecteur réseau. Comme c’est un standard,  il est également dispo sur de nombreux appareils mobiles.

Comment faire pour faire fonctionner le webdav sous windows ?
Avant toute chose, plutôt que de modifier la clé  » BasicAuthLevel » dans windows comme le propose certain site, je vous propose de faire un certificat let’s encrypt. C’est gratuit et cela vous assure au moins la sécurités.

Owncloud – Windows – ServerName

Ensuite, assurez-vous que lorsque vous tapez https://ipdeowncloud que vous arrivez bien sur la page d’owncloud. En effet, chez moi, j’ai plusieurs sites Web sur ma dmz. J’ai aide.lesfourmisduweb.org et cloud.lesfourmisduweb.org. Je gère donc les deux sites avec le ServerName et le ServerAlias dans les deux fichiers aide.conf et cloud.conf  :

Exemples:

ServerName cloud.lesfourmisduweb.org
ServerAlias owncloud.lesfourmisduweb.org

Lorsque le site demandée dans l’url de l’utilisateur est inconnue, apache va prendre le premier site disponible par ordre alphabétique dans:
/etc/apache2/sites-enabled/

En l’occurrence, lorsque je tape mon ip, je tombe donc du coup sur le site aide.lesfourmisduweb.org

Pour en revenir au webdav owncloud sous windows, celui-ci ne supporte pas le « Server Name Indication ». Comme indiquée sur le site d’owncloud:

The Windows WebDAV Client might not support Server Name Indication (SNI) on encrypted connections. If you encounter an error mounting an SSL-encrypted ownCloud instance, contact your provider about assigning a dedicated IP address for your SSL-based server. 

Du coup le webdav échoue
Pour résoudre le problème il suffit de renommer cloud.conf en aaacloud.conf

D’où l’intérêt de faire en sorte que https://ipdeowncloud arrive bien sur le site owncloud.

Connexion du lecteur réseau:

Une fois tous ces prérequis effectués, dans un script windows vous pouvez faire un :

net use z: « https://cloud.lesfourmisduweb.org/remote.php/webdav/ » /savecred /persistent:yes

Voila ! Votre webdav est fonctionnel.

]]> https://blog.lesfourmisduweb.org/owncloud-lecteur-reseau-webdav/feed/ 0 https://blog.lesfourmisduweb.org/wifi-freeradius-802-1x-squid-squidguard/ https://blog.lesfourmisduweb.org/wifi-freeradius-802-1x-squid-squidguard/#respond Sat, 26 Mar 2016 23:06:32 +0000 http://blog.lesfourmisduweb.org/?p=452

Il y a un moment maintenant déjà, j’avais fait un article « Pourquoi il ne faut pas utiliser Squid en mode transparent ? ». J’avais là ma solution de filtrage. Mais pas  forcément la solution d’authentification.

J’avais pensée utiliser packetfence, mais c’est plus une solution de NAC. Pfsense est intéressant également, mais ne convenait pas trop à mon projet. Packetfence est d’ailleurs trop gourmand en ressource.

Je suis donc partie sur le principe me faire ma solution faite main, voici une petite vidéo de présentation de ma solution :

https://www.youtube.com/watch?v=9ItnHyWaWMo

Principe de la solution :

Une borne wifi, avec une authentification wifi « wpa2 entreprise », cette borne est connectée a un freeradius, lui-même connecté a mon active directory (authentification ntlm). Le certificat choisi est un let’s encrypt. Avoir un certificat signé par un ca root déjà installée sur l’ordinateur est utile, en effet, lors de l’utilisation d’un certificat auto signée, il faut installer le ca root correspondent sur l’ordinateur client, ce qui du coup n’est pas pratique.

Une fois connectée sur le wifi. La configuration de proxy automatique fait son boulot pour les navigateurs configurée en « détection automatique de proxy ». Si ce n’est pas le cas (sur tous les smartphones), les utilisateurs sont redirigés vers une page qui leur indique comment activer la détection automatique ou le proxy manuel.

Du côté serveur, mon squid log les adresses MAC qui surf en http et https. Le Freeradius lui log les connexions wifi avec les noms d’utilisateur et les adresses mac associées. (voir vidéo)

Cette solution est intéressante, mais ne résout pas tous les problèmes.

Lors d’un changement de mot de passe, la connexion échoue.
Ce qui est plutôt bon signe. Ce qui est moins cool par contre, c’est qu’il faut supprimer la connexion entrer a nouveau le mot de passe. C’est bien dommage. Aussi, les vieux appareils ne fonctionnent pas avec le 802.1x Dommage

Un des avantages de cette solution (ou désavantage) tout dépend de votre point de vue, c’est qu’une ré-authentification régulière n’est pas nécessaire. Du coup pour un smartphone qui va et vient, c’est super. Mais pour un pc qui appartient à plusieurs personnes ,ce n’est pas top …

Également, cette méthode ne permet pas de faire apparaître des conditions d’utilisation comme pour un portail captif. Je considère qu’un papier doit être signé lors de la distribution de l’identifiant et du mot de passe ou alors qu’un article doit apparaître dans la charte informatique.

Pour faire claire, je n’ai pas trouvé de solution parfaite, mais celle-ci me parait un bon compromis pour mon réseau.

Et l’avantage, c’est que cela consomme très peu de mémoire. Je peux faire tourner ceci sur un raspberry ^^

Aujourd’hui, je trouve qu’il n’y a pas de solution pour les hotspot wifi. Les portails captifs habituent les utilisateurs à outrepasser les avertissements de sécurité ssl et de plus cela ne fonctionne pas avec les technologies hsts (typiquement pour google qui est très souvent la page de démarrage de nombreux navigateurs) . Le 802.1x ne permet pas de faire accepter des conditions d’utilisation ou de faire une inscription sms avec une page web par exemple… Le 802.1x ne permet pas de faire accepter des conditions d’utilisation ou de faire une inscription sms avec une page web par exemple. Dans un monde où nous trouvons de plus en plus de « free wifi », il serait temps de trouver de vraies solutions pour protéger les utilisateurs ET le fournisseur d’accès internet.

 Je vais faire un petit tuto sur mon wiki lorsque j’aurai un peu de temps

Edit 10/04/2016:
Le documentation est ici