comments 2

Pourquoi il ne faut pas utiliser Squid en mode transparent ?

c81f772e265991de09ad69a5a6dfb071

Il faut tout d’abord expliquer la différence entre un surf via un proxy déclaré et un surf sans Proxy.

Lors d’un surf sans Proxy, l’ordinateur contacte directement le serveur qui héberge la page web demandée. Il demande l’IP au DNS puis contacte directement le serveur web en passant par la passerelle.

Dans le cas d’un Proxy déclaré dans le navigateur, la démarche est différente. Lors d’un surf, l’ordinateur ne contacte pas directement le serveur web qui héberge la page que l’on souhaite. Voilà ce qui se passe dans ce cas : Le navigateur constate qu’un Proxy et renseigné lors de la demande de toto.fr le navigateur de l’ordinateur dit :
– Hey serveur Proxy 172.21.254.254:3128, peut-tu surfer pour moi et me donner la page web toto.fr ?

Le serveur Proxy répond :
– Ok, voici la page que tu m’as demandé

Il est au milieu dans le schéma :

280px-Proxy_concept_en.svg

Squid a donc une option de proxy transparent, cette option permet de se mettre à la place de la passerelle, ainsi l’ordinateur pense qu’il discute directement avec le serveur web. Ceci fonctionne très bien avec un surf HTTP, mais ne fonctionne pas du tout avec le protocole HTTPS

Pourquoi ?

Le protocole HTTPS sécurise et chiffre la connexion sur tous les sites les plus connus, il peut également vérifier que la connexion n’a pas été usurpée par un pirate. (vérification du nom de domaine, des certificats et validation par un certificat root). Bref ce protocole a été créé dans le but de protéger une connexion.

header_icon

Squid est capable d’intercepter du surf SSL en mode transparent mais cela nécessite l’installation préalable d’un ca-root. Cette méthode n’est pas du tout appréciée par les sites web, car elle consiste a décrypter la connexion HTTPS en cours. De plus, certains sites web n’utilisent pas le SSL mais le SNI.

Cette méthode est considérée comme une attaque man in the middle :

sslmim

Des solutions comme ALCASAR existent, mais je ne suis pas fan.
Elles loguent et bloquent avec les demandes DNS (Dnsmasq) combinée avec les demandes IP avec iptables, Squid et DansGuardian pour les connexions HTTP.

Les solutions de filtrage transparent proposées par SonicWALL fonctionnent également sur ce type de fonctionnement.

La solution que j’utilise :

La solution la plus propre que j’ai trouvé pour le moment est de déclarer le Proxy. Lorsque l’utilisateur n’a pas le proxy déclaré, il est redirigé vers une page qui lui indique comment configurer son navigateur ou son téléphone pour surfer sur cette connexion.

Suite dans un prochain article… Pour présenter une solution plus fiable !

comment 0

Samba 4 retour d’expérience

page_samba4

Dans mon précédent article j’ai parlé du prix exorbitant des licences Microsoft ; un simple Active Directory virtualisé coûte très cher !

Mais depuis l’arrivée de Samba 4 des alternatives fiables et offrant de nouvelles fonctionnalités existent !

Je vais vous parler de mon retour d’expérience sur Samba 4 ici :

Je l’utilise en deux serveurs virtuels :
– Un serveur Active Directory (LDAP)
– Un serveur de fichier

Samba 4 reprend les principaux outils d’active directory :
GPO, ACL, DNS

Mais cumule aussi les avantages qui étaient présents sous Samba 3 :
– pre-post exec (exécution de script avant ou après un accès au partage)
– hide files (permet de cacher des fichiers sur un partage)
– browseable (cacher un partage sans ajouter un $ comme sur les partages Windows)
– Autorisation de partage par adresse IP
– Utilisation de la variable %U pour le nom d’utilisateur et %G pour le groupe primaire, dans les noms de partage et chemin de fichier…
– etc… etc …

Toute la partie Active Directory, DNS, GPO peut être gérée via la commande samba-tools ou mieux, par les Microsoft Management Console.

Voir fonctionnement ici :

[iframe src= »http://www.youtube.com/embed/mDWIAGCJe2E » width= »100% » height= »500″]

La partie partage à la Windows est également disponible!

Les applications que je connecte aujourd’hui à mon Samba 4 sont incapables de faire la différence entre un Active Directory et Samba 4

Mes préconisations restent de compiler son propre Samba 4, mais la société sernet à sorti son propre ISO déjà tout fait (pratique pour les novices ou pour tester sans trop se fouler)

Des sociétés comme Tranquil IT proposent des formations et des aides à la migration.

Mon tuto ici :
http://wiki.lesfourmisduweb.org/index.php/Serveur_Samba_4

comment 0

Le prix d’un serveur Windows

02748596-photo-verrou-drm

Bonjour à tous !

J’ai (enfin) décidé de faire un article sur Samba 4, qui va venir bientôt.

Mais avant je sors un article « Le prix d’un serveur Windows » pour comprendre les économies potentielles !

Imaginons, je veux me faire un Windows Server avec Active Directory ; que dois-je payer ?

Une licence Windows Server :
J’ai trouvé la licence 2012 R2 Standard à 668€ HT

Mais avoir une licence Windows Server ne suffit pas pour avoir l’autorisation de connecter des clients dessus (quelle ironie), il faut maintenant acheter des CALs.

Mais c’est quoi une CAL ? :

La CAL (Client Access Licenses) Windows Server est obligatoire, dès qu’il y a « authentification » d’un poste (device) ou d’un utilisateur (user) pour accéder aux services de base de Windows Server (Active Directory, partage de fichiers et/ou d’imprimantes, etc…).

La CAL par « user » est liée à un individu qui peut l’utiliser pour se connecter sur différents postes de travail.

La CAL par « device » est liée à un matériel et tous les utilisateurs de ce matériel peuvent l’utiliser.

Les versions des CAL utilisées doivent obligatoirement correspondre aux versions de Windows Server. (une CAL 2003 n’est pas valable pour Server 2008, $$$ mais une CAL 2008 peut être downgradée pour un Server 2003)

En gros une licence Windows Server sans CAL ne sert à rien !

Plus d’infos ici : http://hebergement.u-psud.fr/distribution/acheter-a-la-di/microsoft/21-cal-client-acces-licence-microsoft.html

Certaines versions de Windows Server ne nécessitent pas de CALs ou en ont d’inclues. Voir ici :
http://www.microsoft.com/OEM/fr/licensing/productlicensing/Pages/server-cal.aspx#fbid=pWJXAn-6Z9m

tumblr_n0xm24qMfD1rb2l1co1_400
Si vous avez plusieurs serveurs de virtualisation, (XenServer, Proxmox, VMware vSphere Hypervisor ou Microsoft Hyper-V), Microsoft vous demande de payer une licence de « déplacement » (si vous migrez vos serveurs virtuels d’un serveur physique à l’autre:

Plus d’infos ici :
http://blogs.technet.com/b/fesnouf/archive/2013/12/26/licensing-windows-2012-standard.aspx

Article a suivre …

comment 0

Streamer le son le votre client Linux sur une télé ou Raspberry Pi

dlna-100018023-medium

Si comme moi vous utilisez un Linux Desktop, il peut être intéressant d’envoyer le son de votre cher OS préféré sur votre télé.

Dans mon cas c’est une smart TV Samsung ; elle dispose donc du AllShare.

J’ai pas mal cherché et je suis tombé sur Rygel.

Rygel est une solution multimédia UPnP/DLNA

Le DLNA a l’avantage d’être un protocole plus standard que le Airplay…

Principe de fonctionnement :

Vous pouvez choisir vers quoi envoyer.

toto

Il ne faut pas s’attendre a un envoi instantané, il y a quand même 4 secondes de latence entre la lecture réelle et l’écoute.

IMG_3051

Si cela vous intéresse, vous pouvez suivre ces tutos :
http://community.linuxmint.com/tutorial/view/1506
https://linuxsysadm.wordpress.com/2014/02/22/streaming-pulseaudio-on-a-samsung-smarttv/

Je fais pas de tuto Wiki ce coup-ci

Simon

comments 2

Lutter contre les ransomwares

Ransomware-Featured

C’est la panique un peu partout en ce moment !
D’abord « c’est quoi ça un ransomware ? »

Le ransomware prend en otage des données personnelles. Pour ce faire, un rançongiciel chiffre des données personnelles puis demande à leurs propriétaires d’envoyer de l’argent en échange de la clé qui permettra de les déchiffrer. (oui copier-coller de Wikipédia)

Ce virus a déjà fait beaucoup de dégâts dans les mairies et lycées de ma région.

La plupart des ransomwares n’ont pas besoin d’être en Administrateur pour s’exécuter, le ransomware se contente de se lancer et de crypter tout les fichiers *.doc *.jpg *.pdf…  accessibles en écriture par l’utilisateur. Cela va très très vite ! Il scan non seulement les documents présent sur l’ordinateur mais aussi tout les documents sur les lecteurs réseaux.

Clairement, une fois arrivé, il est trop tard pour réagir, la rançon ne vous permettra de récupérer vos fichiers que par petits bouts pour des sommes astronomique.

Votre seule option est de faire en sorte d’empêcher son exécution.
virus-computer
Quelques options :

  • Interdire le téléchargement des .exe, .bat, .vbs, .msi…
  • Si vous êtes avec Samba 3 ou 4, cacher les .exe présents sur les partages
  • Interdire avec des GPOs l’exécution des .exe dans certains répertoires

Cette dernière option est la plus efficace :
Je part de ce principe : Un utilisateur ne doit pas pouvoir exécuter des .exe dans les dossier auquel il a accès en écriture.

Le gros soucis en revanche est que cette GPO est extrêmement mal gérée sous Windows XP. (il ne fait pas la différence entre les .lnk et le reste)

Forcément les petits logiciels portables pratiques des utilisateurs seront bloqué. Mais l’avantage c’est que tous les logiciels du genre TOR/ophcrack/mimikatz seront bloqués également.

Vous trouverez des tutos pour les 3 options sur le wiki ici (en cour de rédaction)

Si vous avez d’autres idées, postez-les en commentaire !

Édit 13/03/2016 :

Je me contente ici de décrire techniquement et froidement les méthodes.

K3nny a retranscris plus proprement ce que j’ai écris ici :

http://reseaux85.fr/index.php?title=Strat%C3%A9gie_de_Restriction_Logiciel_et_Applocker

et ici :

http://reseaux85.fr/index.php?title=S%C3%A9curit%C3%A9_-_Crypto-Locker/Ransomware

Démonstration vidéo:

comments 6

Bloquer le réseau Tor

tor_browser_logo__no_trans_background__by_j_bob-d5gjsad

Je travaille dans un lycée et un collège, autant dire que je doit empêcher mes lycéens et mes collégiens de surfer sur des sites non-pédagogiques…

Depuis un certain temps maintenant est arrivé « Tor Browser »
Principe de fonctionnement du soft :
– Pas besoin d’être administrateur de la machine pour le lancer.
Au démarrage Tor va vous demander si votre réseau est équipé d’un proxy. Si vous cochez non il va essayer de contacter des « IP Tor »  à travers la passerelle configurée sur votre ordinateur et va scanner tout les ports qui peuvent potentiellement sortir sur internet.

La première sécurité est donc d’empêcher les clients de sortir sur directement sur internet et de mettre en place un proxy. Les clients ne pourront donc pas sortir sur internet sans passer par lui. Seul le proxy sera autorisé à sortir sur internet. Tor va donc scanner et ne jamais trouver de « porte de sortie ».

jns_ch12-18

Mais Tor (s’il est bien configuré) peut aussi passer par un proxy pour contacter directement des « IP Tor ». Son principe de fonctionnement est le suivant :
Tor contacte une adresse IP par le proxy et ne ferme pas la connexion, il la laisse ouverte et fait transiter la navigation Tor sur ce « tunnel » ouvert.

La solution est donc de bloquer avec Squid (ou autre) les connexions vers les IP de Tor

Par chance, ce site https://www.dan.me.uk/torlist/ liste la plupart des adresses IP Tor disponibles sur le net.

J’ai publié un petit tuto sur mon wiki ici

comment 0

osTicket – Solution de gestion de tickets

osticket-logo
Je cherchais une solution de gestion des incidents puissante mais simple. J’ai essayé GLPI, mais cela ne m’a pas plu. Je voulais une solution sans authentification pour les clients, pas d’authentification pour déposer un ticket. Une personne hors établissement doit être capable de faire une demande de support.

Les demandes/réponses peuvent se faire par envoi d’e-mail ou par interface web. Cependant j’ai préférer désactiver la fonction par e-mail ; la fonction interface web est si bien faite qu’elle est préférable.

Fonction osTicket :

  • Gestion ticket ouvert/fermé/résolu
  • Réponse automatique
  • Gestion SLA
  • Formulaire de dépôt de tickets

Je vous laisse découvrir tout ça :
http://osticket.com/

Petite démo ici (attention c’est une vieille version) :
http://www.ostickethacks.com/demo/

comment 0

WAPT – apt-get pour Windows

Je viens de découvrir un nouveau logiciel de déploiement : WAPT
WAPT est une solution qui aide au quotidien en automatisant les installations, les désinstallations et les mises à jour de l’ensemble des logiciels d’un parc informatique.

800px-Schema-wapt.svg

Il existe la version « WAPT Starter » que j’utilise pour les particuliers ou petite entreprise, (une utilisation vraiment copier-coller de APT sur linux), on installe les logiciels souhaités avec la petite interface web, et lorsqu’une mise à jour est dispo sur le dépot WAPT http://wapt.tranquil.it/wapt, le logiciel va vous proposer d’installer automatiquement toutes les mises à jour disponibles.

Avec la version « WAPT Serveur », vous pouvez gérer intégralement les logiciels à partir d’une console de gestion centrale avec votre propre dépôt privé.

Principe global de WAPT Serveur :
Une fois le client WAPT installé, vous pouvez par exemple faire un groupe de paquet logiciel « pc_service_commercial » et « pc_service_compta » puis pousser l’installation sur les postes.

Vous avez ensuite possibilité entre plusieurs types d’installation :
– L’installation immédiate
– Les mises à jour à l’extinction du poste
– Laisser l’utilisateur installer les mise à jour quand il le souhaite.

Dernier bonus :
– WAPT permet les dépôts privés multi-site et les dépôts peuvent également être disponibles depuis l’extérieur. Toujours également super pratique pour les commerciaux toujours en ballade. Les paquets sont d’ailleurs téléchargés en local sur le poste lorsque une mise à jour est disponible, l’installation peut donc être faite en étant déconnecté du réseau.
– Les paquets sont « partageables » par fichiers ou par dépôt publique, j’ai moi même fait mon propre dépôt publique : http://wapt.lesfourmisduweb.org/

Doc et présentation officielle :
Doc vidéo : http://doc.tranquil.it/co/portail.html

Installation :
Mon install (Wiki) : http://wiki.lesfourmisduweb.org/index.php/Serveur_WAPT
Wiki officiel :  http://dev.tranquil.it/wiki/WAPT_-_apt-get_pour_Windows

comment 0

Bienvenue !

Actuellement administrateur réseau dans un collège et un lycée, je suis passionné par l’informatique et les réseaux en général. Je porte une grande importance à l’usage de solutions libres autant en entreprise qu’en usage privé. Ce site sans prétention sert de présentation et de pense bête, j’y poste de manière aléatoire.

PS : cet article est entièrement pompé sur https://lacavernedemanu.fr/