Original post of Denis Szalkowski.Votez pour ce billet sur Planet Libre.

Gnu/Linux m’ennuie… Posé comme ça, ça ne veut probablement pas dire grand chose. Surtout pour ceux et celles qui découvrent mes propos. Mais je dois bien dire que j’ai pris un sérieux coup dans le buffet ces derniers mois. Moi, l’Ubunteros de la première heure.

Je n’apprécie pas du tout les différents “tournants” pris par Ubuntu, que ce soit au niveau esthétique, technique, commerciale, partenarial, … J’ai bien pensé repasser directement sous LA distribution Gnu/Linux = Debian. Mais voila. L’appel du grand large est là : j’ai envie de découvrir autre chose.

Découvrir est un bien grand mot, dans le sens où j’ai déjà “navigué” sur le bateau *BSD il y a  quelques années, principalement FreeBSD et un peu OpenBSD en tant que serveur.

J’avais donc envie de faire un petit tour d’horizon des différentes solutions “user-friendly” proposées sous *BSD… User-friendly : pour ne pas passer des heures à tout configurer, tout compiler, …Mon temps est précieux, divisé entre famille et boulot. Et par fainéantise sûrement un peu aussi …

Bref : j’ai installé un BSD … comme dirait la série. J’ai maintenant choisi de vous présenter un *BSD “user-friendly”. Ça n’est bien évidemment pas le seul projet sous cette forme. Je vous présenterai certainement d’autres systèmes un peu plus tard comme PC-BSD par exemple.

Je vous présente donc rapidement GhostBSD.

GhostBSD est un système d’exploitation qui se veut convivial, agrémenté d’un bureau et basé sur FreeBSD. FreeBSD est largement connu pour sa stabilité et sa sécurité dans les environnements de serveurs. FreeBSD fournit une excellente base sur laquelle construire un système d’exploitation de bureau. L’équipe de GhostBSD base son travail sur des solutions open source pour créer un outil facile à utiliser, environnement familier qui peut être utilisé à la maison ou dans un environnement professionnel. GhostBSD peut également être utilisé comme un live-CD ou pour récupérer des données. GhostBSD soutient Gnome, LXDE, Openbox et plus encore.

Je viens de tester GhostBSD sur Virtualbox et … c’est pas encore ça. J’ai le droit à un zoli “Panic : page fault”. La version que j’ai testé est la version LXDE. Il faudrait tester tout cela directement live-cd, ce que je ferai plus tard… je vous tiendrai au courant.

Pour avoir déjà testé PC-BSD par exemple, pas mal de préjugés partent en fumée dès les premières secondes passées sous un *BSD. On entend en effet souvent dire que les *BSD sont difficiles d’accès et ne sont pas faits pour être utilisés en tant que système tournant sur une machine de “bureau” ou “familiale”. mais force est de constater que c’est rapide, claire… et puisqu’il s’agit d’un window manager commun à Linux et *BSD ça ressemble à du Linux !

Une version sous Openbox est aussi proposée.

Pourquoi GhostBSD?
Le projet GhostBSD vise à répondre à deux exigences très spécifiques : la sécurité et la convivialité. GhostBSD a essayé de faire les choix les plus raisonnables au niveau logiciels et d’affiner la sélection des applications pour fournir un environnement de travail intuitif sans besoin de grosses configurations supplémentaires. Plutôt que de proposer à l’utilisateur de construire lson propre environnement FreeBSD, GhostBSD vise à rendre l’expérience FreeBSD facile et réalisable pour l’utilisateur moyen. Cependant, GhostBSD reste fidèle à l’esprit de FreeBSD. GhostBSD n’entend  pas limiter les options de personnalisation des utilisateurs qui seraient disponibles. Par conséquent, tous les tutoriels, conseils et le contenu en ligne applicables à FreeBSD s’appliquent également à à GhostBSD.

Voila un petit snapshot du boot sous Virtualbox que j’ai réalisé à partir de VirtualBox :

Cet article Et si on passait sous BSD ? est apparu en premier sur mumbly58.fr.

Original post of mumbly58.Votez pour ce billet sur Planet Libre.

Je vous souhaite pour commencer une bonne année 2013 et surtout une bonne santé et pourquoi pas un peu d’argent avec en vu les différentes augmentations que nous allons voir cette année à savoir le Livret A, le logement, prix du gaz, prix de l’électricité, taxis, bière etc…

Qui n’a jamais saisi par erreur une commande Unix/Linux dans l’invite de commande sous Windows? Personnellement moi c’est surtout avec les commandes « ls » et « ifconfig » , question d’habitude ^^
Mon copain JF m’avait concocté un petit script batch pour rigoler afin d’ajouter les alias de mes commandes.

Récemment un collège m’a envoyé un mail disant qu’il faisait par habitude des erreurs de frappes dans le cmd sous windows, j’ai alors décidé de partager mon « Tux Terminal » que j’ai commencé à améliorer mais je compte sur vous pour le peaufiner d’avantage (je vois déjà venir « format c:« ), alors lâchez vos commentaires

Voici le script « tux.bat » en question, à mettre dans « C:\\Windows\\System32« .

@echo off
title Tux Terminal for Windows
mode 128
color 0A
echo %username%@%computername% :
echo.
echo.

doskey ls=dir /b
doskey ifconfig=ipconfig
doskey uname=ver
doskey top=tasklist
doskey clear=cls
doskey pwd=chdir
doskey ls-R=tree
doskey cat=type
doskey sleep=pause
doskey export=set
doskey grep=find
doskey dif=fc
doskey mv=echo move ou rename
doskey rm=del
doskey services=echo Taper « sc queryex | findstr « DISPLAY_NAME STATE »"
cd %USERPROFILE%
cmd /K

Ensuite dans l’invite de commande, il vous suffira de taper la commande « tux » pour accéder à ce dernier.

Original post of HacKurx.Votez pour ce billet sur Planet Libre.

Bonne année 2013 à tous !

Comme vous le savez, mes parents ont bénéficié d'une mise à jour matérielle suite à la mise à jour de mon propre PC.

Précédemment mes parents étaient sous Ubuntu 10.04 LTS Lucid Lynx puisque à l'époque j'utilisais moi-même Ubuntu (c'est plus simple d'avoir un même système d'exploitation quand on gère plusieurs machines).

Afin de bénéficier (si, si, c'est le mot approprié) de GNOME 3, et pour rester sur un rythme « long » proche des LTS, je les ai fait passer sous Debian 7.0 Wheezy (certes pas encore finalisé). J'utilise moi-même Debian Sid.

Par ailleurs, ils ont gardé Windows XP en dual boot pour pouvoir utiliser le logiciel de mise à jour de leur avertisseur de radar Inforad.

Dans un premier temps j'avais pensé utiliser la nouvelle application Machines (en anglais : Boxes, basée sur KVM) pour faire tourner Windows XP dans une machine virtuelle, mais il manque au processeur Intel Core 2 Duo E7200 la technologie de virtualisation VT-x, indispensable à Machines. J'en perçois seulement maintenant l’intérêt :-/

J'aurais pu essayer de faire marcher l’exécutable Inforad avec Wine mais je ne l'ai jamais utilisé et au final c'était plus simple pour moi de réaliser un classique dual boot.

Nous allons voir comment : installer Debian 7.0 Wheezy, paramétrer le système et contourner deux bogues actuels de Wheezy.

Installer Debian 7.0 Wheezy

L'installateur est à récupérer ici (choisissez le CD-1, en version amd64 pour du 64 bits ou i386 pour du 32 bits) et à copier sur une clé USB à l'aide de UNetbootin.

J'ai d'abord installé Windows XP et ses mises à jour avant de lancer l'installateur Debian, toujours aussi clair.

J'ai laissé 15 Go pour Windows, 2 Go pour le swap, 25 Go (j'ai prévu large) pour / et le reste pour le /home, le tout en ext4 avec l'attribut noatime comme il se doit, s'agissant d'une unité SSD.

Paramétrage du système

En vrac, il s'agit de :

• Configurer le tableau de bord pour afficher la date à côté de l'heure
• Afficher un raccourci vers les dossiers personnels dans le tableau de bord
• Revenir à l'ancien comportement de la touche supprimer
• Désactiver le verrouillage de l'écran
• Autoriser le montage automatique des partitions NTFS
• Supprimer tous les popups dans Firefox/Iceweasel et les rediriger vers les onglets

Configurer le tableau de bord pour afficher la date à côté de l'heure :

Dans un Terminal, entrer :

gsettings set org.gnome.shell.clock show-date true

Afficher un raccourci vers les dossiers personnels dans le tableau de bord :

Installer l'extension « Places Status Indicator » pour GNOME Shell.

Revenir à l'ancien comportement de la touche supprimer :

Pour pouvoir envoyer les fichiers à la corbeille avec le touche [Suppr] :

• Lancez dconf-editor
• Activez la clef « can-change-accels » dans org.gnome.desktop.interface
• Ouvrez Nautilus et sélectionner n'importe quel fichier
• Allez dans « Édition », survolez l'option « Mettre à la corbeille » et appuyez deux fois sur la touche [Suppr]
• Désactivez la clef « can-change-accels » dans org.gnome.desktop.interface

Désactiver le verrouillage de l'écran :

Dans « Paramètres système », « Luminosité et verrouillage », désactiver l'option « Verrouiller ».

Autoriser le montage automatique des partitions NTFS

Installer le paquet « ntfs-config ».

Supprimer tous les popups dans Firefox/Iceweasel et les rediriger vers les onglets :

Dans la barre d'adresse, entrer « about:config » et régler la valeur de la clé « browser.link.open_newwindow.restriction » sur « 0 ».

Contourner deux bogues actuels de Wheezy

Configurer la connexion automatique au démarrage (autologin) :

L'interface graphique dédiée (« Paramètres système », « Comptes utilisateur ») ne fonctionne pas, il faut donc : soit installer la version 0.6.21-8 ou supérieure du paquet « accountsservice » (actuellement dans Sid) qui règlerait le bogue, soit modifier un fichier à la main :

• Dans un Terminal, entrez, avec les privilèges d'administration : gedit /etc/gdm3/daemon.conf
• Décommentez les lignes :
  AutomaticLoginEnable = true
  AutomaticLogin = user
• Remplacez « user » dans la ligne ci-dessus par le nom d'utilisateur (ne vous trompez pas et respectez la casse ou vous ne pourriez plus accéder à la session en mode graphique ! C'est le nom qui apparaît quand vous lancez un Terminal : « nom_d_utilisateur@nom_de_la_machine:~$ »)

(le bogue est rapporté sous le n° 652472)

Installer une imprimante

Là non plus je n'ai pu utiliser l'interface graphique dédiée (gnome-control-center printers) pour installer une imprimante USB.

À la place, il faut utiliser system-config-printer avec les privilèges d'administration.

(le bogue est rapporté sous le n° 696241 mais la solution ne semble pas encore trouvée)

Original post of Antistress.Votez pour ce billet sur Planet Libre.

Q’est-ce qu’un DDoS ? Que faire en cas de DDoS ? Comment se protéger ? Ce sont là des questions récurrentes ces temps-ci sur internet. Je vais exposer dans le présent article une solution pour se prémunir un minimum avec une architecture modulaire. L’exemple se focalisera sur les services HTTP.

Avant-propos

Un DDoS, pour faire simple, se rapporte à une attaque de type déni de service distribué. En gros, l’attaquant cherche à rendre votre service (site web, serveur mail, platefome complète…) indisponible grâce à plusieurs outils déployés sur PC zombies lancés à vos dépends en parallèle. Plus il y a d’armes (PC zombies), plus l’attaque prend de l’ampleur. De base, pour déjouer ces attaques, c’est un peu le jeu de qui a la plus grosse. Reste qu’on peut se prémunir de pas mal de chose, sans passer pour autant par des solutions (trop) honéreuses de type Arbor Networks.

On n’est pas tous milliardaires (ou du moins, pas encore). On ne peut pas tous investir dans ces solutions ni payer le tuyaux nécessaire pour jouer à qui a la plus grosse. Mais on doit se protéger. L’idée principale de cet article, réside donc dans la différence entre les notions de DoS et de DDoS, à savoir, le distributed. On cherche donc à se rapprocher autant que possible d’un DoS en segmentant l’attaque puis on travaille sur ces réductions en fonction du protocole.

Dans la suite, nous discutons de flux HTTP. Donc on filtre au niveau réseau avec du firewall puis on analyse la partie HTTP avec un WAF et on réduit les connexions au serveur client (le backend) avec une plateforme de Caching. Chaque fonction est isolée sur une brique indépendante des autres qu’on peut remplacer ou supprimer en fonction de l’usage qu’on veut avoir.

Je resterais assez succint sur la mise en place de certaines fonctionnalités avancées, sur l’évolutivité ou encore sur la centralisation des informations, ayant livré un produit un peu plus complet il y a peu.

L’architecture est dans le Cloud : pourquoi ? parce que la virtualisation offre la souplesse nécessaire à ce type d’architecture et qu’on pourra voir dans de potentielles évolutions, à définir des règles au niveau DNS pour isoler des régions géographiques sur tel ou tel fournisseur sans impacter les autres datacenter virtuel.

Spécificités de la plateforme

La plateforme est découpée en “colonne”. Toutes les colonnes sont équivalentes à la base. On essaie d’isoler une colonne par opérateur. A l’intérieur de chaque colonne, on aura une “ligne” de fonction composée d’autant de serveur de chaque type appelé “brique”. Dans le cas de l’article, une colonne HTTP contient trois lignes d’un seul serveur à chaque fois :

• firewall
• WAF (Web Application Firewall)
• Caching

J’ai rédigé cet article et les scripts liés de manière spécifique au serveur OVH. Des adaptations sont à prévoir pour d’autres mais dans l’absolu, tout devrait être fonctionnel tel quel. Chaque brique est en soit une machine virtuelle (dans le cas présent, une Debian Squeeze) avec des ressources affectées en fonction de vos besoins et moyens. Ici, 2 core et 8 Go de Ram à chaque fois. On y copie importe l’arborescence de deploiement qui va bien, on lance le script, et rouler jeunesse.

Au niveau réseau, on sépare la partie management de la partie service.

Le serveur VMware ESXi 5.0 n’a de base qu’une IP de management. On restreint ces services de management aux seules IP qui s’y connecteront : votre bureau.

Ensuite, vient le cas des différentes VIP qu’on demande à OVH :

• 3 pour les services publiques (dont la première servira aussi pour le VPN
• 1 pour le honeypot
• 1 pour la communication du caching avec le backend

Entre eux, chaque niveau communique sur un VLAN spécifique.

Enfin, chaque serveur a une patte de management sur un réseau privé, utilisable exclusivement via le serveur de VPN.

Le comportement est simple : lorsqu’un client se veut se connecter à la plateforme protégée, il le fait via une requête HTTP sur un fqdn précis. Ce fqdn est un alias vers un catch-all DNS de notre service de protection. Ce catch-all correspond à un gros Round Robin DNS vers les différentes VIP. C’est le point qui génère la segmentation. Plus de VIP seront disponible, plus la segmentation sera importante. L’attaquant visera soir le fqdn et donc toutes les VIP, se qui va répartir ses PC zombies, soit les différentes VIP, mais lui même devra avoir assez de PC zombies sous la main.

Le firewall entame alors son petit travail : analyser les paquets. Ici on reste basique avec un lot de règles iptables. On pourrait y greffer à la limite un IPS pour compléter la brique. Les règles sont de deux types :

• basique : pré enregistrées au démarrage du service
• dynamique : générée par les outils de bannissement

Les règles basiques correspondent à des règles de “bonne usage” contre les DoS classiques. Les règles dynamiques sont produites soit à la main, soit par l’ensemble du service : détection des scans de port, fail2ban, … Peu importe quelle brique détecte une IP à bannir, celle-ci le sera au niveau du firewall. De plus, le bannissement se fait via un TARPIT pour la partie TCP et un DROP pour le reste.

Les scripts qui suivront sont issues de la première version du PoC. Certains points sont à faire évoluer mais la base est présente.

Le firewall

Au début je pensais utiliser une BSD avec du pf. Mais je me suis ravisé : pf ne permet pas la partie TARPIT qui est tout de même bien sympathique. Qu’est-ce que TARPIT ? C’est un redimensionnement de la fenêtre TCP à 0. Ou de manière plus imagée, c’est le pendant d’un SYN Flood côté défense. On ne renvoie pas l’ACK à un client mais on tue sa requête. Le résultat est d’engorger progressivement sa pile TCP. Le tout proportionnellement à l’ampleur de l’attaque.

Le firewall portent donc trois VIP de service. Chaque voit son port 80 poussé vers le WAF. La première voit en plus un port poussé vers le VPN. Ici, le 3006/tcp.

A côté de cela, pour garder une certaine dynamique dans les règles iptables, on ne bloque pas tout. Juste quelques attaques de type DoS standard. Le reste, on fera du préventif ou cas par cas.

Du coup, portsentry est utilisé pour détecter les scans de ports et déclencher le bamnissement.

On y installe aussi un honeypot qui simule un serveur Windows bien ouvert sur la 4e VIP. Toute tentative de connexion dessus sera détectée dans les logs par un fail2ban qui déclenchera le bannissement.

Enfin, quelques paramétrages fins sont à faire spécifiquement sur le firewall :

# Tuning automatique de la fenêtre TCP
net.ipv4.tcp_moderate_rcvbuf=1
# Communication entre les différents noeuds pour notifier d'un engorgement (RFC 3168)
net.ipv4.tcp_ecn=0
# Désactive le discover automatique du MTU
net.ipv4.ip_no_pmtu_disc=0
# On désactive le démarrage lent d'une nouvelle connexion qui a déjà ouvert une session HTTP
net.ipv4.tcp_slow_start_after_idle=0
# On bloque les requêtes de type ICMP echo en broadcast
net.ipv4.icmp_echo_ignore_broadcasts=1
# On préfère traiter toutes les requêtes TCP afin de peupler les règles iptables
net.ipv4.tcp_abort_on_overflow = 1
# C'est l'arme contre les SYN FLOOD : une connexion n'est gardée en mémoire que si le serveur a reçu l'ACK
net.ipv4.tcp_syncookies = 1
# On ne laisse pas retenter un paquet TCP
net.ipv4.tcp_orphan_retries = 0
# Simple réduction de taille du paquet TCP en y mettant pas le champ time - moins de charge CPU
net.ipv4.tcp_timestamps = 0
# Active les acknoledge selectif : on ne répond pas à tous - pour de la perf, pour pourrait le mettre à 0
net.ipv4.tcp_sack = 1
# Tuning de la fenêtre TCP - on est restrictif
net.ipv4.tcp_window_scaling = 1

D’autres paramètres plus globaux sont initialisés également.

Le WAF

Le WAF est donc le firewall applicatif. En gros, c’est une brique HTTP permettant d’analyser les requêtes et générer un comportement sécuritaire spécifique. On peut utiliser du mod_security (qui existe aussi pour nginx maintenant) ou du naxsi. La grosse différence, le premier fonctionne à coup de blacklist statiques, le second fonctionne à coup de whitelist et de blacklist générée lors d’un mode d’apprentissage.

Lorsqu’un client HTTP est connecté et a un comportement suspicieux, on aura la joie d’avoir une ligne dans les logs correspondants. En interfaçant avec fail2ban et le script qui va bien, on pourra déclarer l’IP de ce client au firewall qui la bannira.

N’oubliez pas de déclarer les VIP sur la loopback.

Le caching

J’ai déjà eu l’occasion de rédiger différents articles sur le caching (création et comparaison). Ici le but est juste de mettre une brique rapidement en place pour démontrer le fonctionnement.

On reprend donc un nginx configuré pour le caching. La spécificité de cette brique est qu’elle sort directement sur internet via son IP publique (donc sans repasser par le firewall, contrairement aux autres briques).

Au niveau sécurité de la patte publique, on bloque tout à coup de TARPIT/DROP par défaut sur celle-ci.

Conclusion

L’ensemble des scripts est disponible sur mon github. La commande magique deploy se charge d’installer et configurer les différents points pour un rôle donné.

La commande de management ddos permet déjà quelques outils. Elle est à lancer avec un compte nommé sysadmin à qui on réduira les possibilité via sudo. Le compte root est bloqué pour le SSH.

N’oubliez pas que ceci est un PoC et doit donc servir de base. Il est utilisable quasiment tel quel mais il serait mieux d’avoir un niveau suffisant pour l’adapter et l’améliorer.

Imaginez une centralisation des informations, un back office, une mutualisation des firewall pour différents protocoles, des tunnels GRE entre vous et les plateformes cibles, un TARPIT directement intégré au SMTP (cf BSD), …

Dans tous les cas, voici une idée du résultat au niveau filtrage :

The post Création d’une plateforme anti-ddos modulaire appeared first on D'ici et d'ailleurs.

Original post of Francois Aichelbaum.Votez pour ce billet sur Planet Libre.