Pour le Patch Tuesday d'Octobre 2019, Microsoft a intégré les correctifs d'une bonne cinquantaine de vulnérabilités, moins que d'habitude. Surtout, ce patch ne corrige pas de failles 0-day.

Rappelons toutefois que Microsoft a déployé des correctifs fin septembre, en urgence, ce qui n'est pas habituel non plus. Cela concernait des vulnérabilités au sein d'Internet Explorer et Windows Defender.

Au sein des 59 correctifs d'Octobre, Microsoft a tout de même corrigé 9 vulnérabilités critiques, dont 7 au niveau des navigateurs de Microsoft et du moteur de scripts Chakra (Edge), et pour le reste : Azure App Service et le client RDP (moins dangereux que BlueKeep).

A noter également, et c'est assez rare, qu'il n'y a pas de mise à jour de sécurité pour Adobe. Par contre, il y en a pour : SQL Server Management Studio, Microsoft Dynamics 365, Windows Update Assistant et la suite Microsoft Office.

Enfin, pour ceux qui tournent sous Windows 10 "1703" sachez que cette version ne va plus recevoir de mises à jour à partir du mois prochain. En fin de vie donc.

J'en profite pour vous rappeler l’existence du portail Security Update Guide qui offre des informations complémentaires sur les correctifs, sous la forme d'un moteur de recherche.

📌 Portail "Security Update Guide"

I. Présentation

Dans ce nouveau tutoriel dédié à pfSense, je vous propose de voir comment configurer un reverse proxy avec pfSense, en s'appuyant sur le paquet Squid. La mise en place d'un reverse proxy va permettre de publier de façon sécurisée un ensemble de sites web, eux-mêmes hébergés par plusieurs serveurs web, au travers de notre pare-feu.

Rappel : à l'inverse du proxy qui permet à un utilisateur du réseau local d'accéder à Internet, le reverse proxy permet l'inverse, c'est-à-dire accéder depuis Internet à un service hébergé sur le réseau local (DMZ, de préférence...) de l'entreprise.

Lorsqu'un utilisateur va tenter d'accéder à notre site web, celui si va contacter le serveur reverse proxy qui va ensuite renvoyer la requête vers le serveur web, après l'avoir analysée. Il a plusieurs avantages :

• Sécurisation des serveurs web ("anonyme" derrière le reverse proxy qui échange en direct avec le client)
• Gestion du cache (via squid) sur les requêtes effectuées pour optimiser le temps de réponse
• Répartition de charge entre plusieurs serveurs web
• Possibilité d'analyser les flux en amont (exemple : antivirus)

Dans cet exemple, nous allons simuler l'utilisation d'un reverse proxy comme si l'on voulait l'utiliser pour IT-Connect.

II. Installation du package "squid" sur pfSense

A partir de l'interface web de pfSense, nous allons installer le paquet "squid". Pour cela, accédez au menu "System" puis "Package Manager".

Cliquez sur "Available Packages" et recherchez "squid" dans la base de paquets disponibles.

Lorsqu'il s'affiche sur la page, cliquez sur "Install" sur la droite.

Patientez pendant l'installation du paquet squid...

Passons à la suite de la configuration.

III. Création de la règle "System Tunables"

Il est nécessaire de créer une règle dans la section System Tunables de pfSense (voir ci-dessous pour quelle raison). Sous le menu "System", cliquez sur "Advanced".

Cliquez sur l'onglet "System Tunables" et ajoutez un nouvel élément en cliquant sur "New".

Remplissez le champ "Tunable" avec la valeur "net.inet.ip.portrange.reservedhigh" et indiquez "0" comme valeur. En fait, si l'on n'ajoute pas cette option, nous ne pouvons pas utiliser les ports 80 et 443 avec Squid, car ils sont réservés. Par défaut, nous devrions utiliser un port supérieur à 1024.

Validez en cliquant sur "Save" et ensuite appliquez les changements en cliquant sur "Apply Changes".

IV. Configuration de Squid Reverse Proxy

Commençons la configuration du reverse proxy en lui-même, un rôle assuré par Squid et que l'on retrouve avec le nom "Squid Reverse Proxy" dans le menu "Services" de pfSense.

Dans la section "Web Servers", nous allons créer un nouvel élément en cliquant sur "Add".

Cette étape permet d'ajouter un serveur web, nous allons ensuite lier le serveur web à un nom de domaine. Dans le cas où vous avez plusieurs serveurs web pour le même site, il faut répéter cette opération.

Cochez la case "Enable this peer" et remplissez les différentes valeurs :

• Peer alias : le nom d'hôte de votre serveur web, vous pouvez mettre le nom de domaine directement s'il n'y a qu'un seul serveur
• Peer IP : l'adresse IP privée de votre serveur web
• Peer port : port d'écoute de votre site web
• Peer Protocol : pour publier un site sécurisé via HTTPS, sélectionnez ce protocole
• Peer description : nom du site, par exemple

Cliquez sur "Save" pour ajouter l'entrée.

Passez ensuite sur l'onglet "Mappings" et appuyez sur 'Add" pour créer un nouvel objet.

Maintenant, nous allons devoir ajouter notre nom de domaine. Cochez la case "Enable this URI" et donnez un nom à ce groupe (Group Name). Le nom de domaine me semble être une bonne idée 🙂

Dans le champ "Peers", sélectionnez le(s) serveur(s) web qui hébergent ce site et vers lesquelles il faudra rediriger les flux. Dans cet exemple, il y a un seul serveur.

Indiquez le nom de domaine dans la zone "URI", sans précéder par http:// ou https://, sinon ça ne fonctionnera pas.

Maintenant que nos objets sont créés au niveau du reverse proxy, passons à la suite.

V. Autoriser le flux HTTPS dans le firewall

Au niveau filtrage, nous allons devoir créer une règle sur le firewall pour qu'il autorise le flux : à savoir la connexion des utilisateurs sur le port 443 de notre interface WAN pfSense. Sinon, le reverse proxy ne pourra pas être interrogé.

Sous le menu "Firewall", cliquez sur "Rules" et ensuite sur l'onglet "WAN".

Créez une nouvelle règle pour autoriser (Action = pass) les flux sur l'interface WAN provenant de n'importe quelle source (source = any) et à destination du port 443. Ce qui nous donne :

La règle étant créée, pensez à l'activer avant de poursuivre.

VI. Création de l'autorité de certification

Qui dit HTTPS, dit certificat SSL pour sécuriser les connexions. Dans le cadre de la publication d'un site Internet, il faut utiliser un certificat SSL qui émane d'une autorité de certification de confiance et reconnue nativement au sein des navigateurs clients. S'il s'agit d'un extranet et que vous souhaitez générer un certificat directement depuis pfSense, il est possible de créer une autorité de certification.

Attention : Si vous désirez importer directement votre certificat SSL, passez cette étape.

Pour créer une autorité de certification, accédez au menu "System" puis "Cert. Manager".

Dans la section "CAs", cliquez sur "Add".

Donnez-lui un nom, par exemple "IT-CONNECT CA", et choisissez la méthode "Create an internal Certificate Authority". Remplissez les autres informations en fonction de vos besoins... Choisissez une longueur de clé et un algorithme de chiffrement suffisant, par exemple une longueur de 2048 et sha256.

Une fois créée, la CA s'affiche bien dans la liste :

Maintenant, il reste à gérer la partie certificat...

VII. Création (ou importation) d'un certificat

Toujours dans le menu "Cert. Manager", basculez cette fois-ci sur l'onglet "Certificates". Cliquez sur "Add/Sign".

Deux choix : soit créer un certificat signé par la CA de notre pfSense en choisissant "Create an internal certificate" ou sinon importer notre propre certificat, ce qui est encore plus simple.

Dans le cas où l'on crée un certificat, il faut remplir les différents champs, voici un exemple :

 

VIII. Ajout du certificat dans Squid Reverse Proxy

Nous devons indiquer au reverse proxy quel certificat il doit utiliser pour le traitement des flux HTTPS. Sous "Services", retournez dans "Squid Reverse Proxy".

Au niveau des paramètres HTTPS, cochez l'option "Enable HTTPS Reverse Proxy" pour qu'il soit actif sur les flux HTTPS. Indiquez le port "443" juste en dessous. Ensuite, au niveau du champ "Reverse SSL Certificate", sélectionnez le certificat importé ou créé à l'étape précédente.

Note : si vous utilisez plusieurs sites web avec un sous-domaine différent à chaque fois, il est nécessaire d'importer un certificat SSL Wildcard pour que le certificat puisse s'appliquer aux différents noms de domaine.

Maintenant, au niveau des paramètres généraux, indiquez que le reverse proxy écoute sur l'interface WAN et si vous hébergez un seul site web, vous pouvez indiquer directement son nom de domaine pour le champ "External FQDN".

Pensez à valider pour appliquer les changements 🙂

IX. Activation de Squid

Il nous reste une dernière étape avant les tests : configurer et démarrer le service Squid en lui-même. Puisque le rôle reverse proxy s'appuie sur Squid, il est obligatoire de démarrer le service "Server Squid".

Sous le menu "Services", accédez à "Squid Proxy Server".

Avant d'activer Squid, il faut configurer et activer le cache dans Squid via l'onglet "Local Cache" sinon le service refusera de démarrer.

Une fois que c'est fait, dans l'onglet "General", cochez l'option "Enable Squid Proxy" et laissez sur "LAN" pour l'interface, car il est question ici du proxy (et non du reverse proxy).

Il ne reste plus qu'à valider, à s'assurer que le service Squid démarrer et à tester depuis un poste client que tout fonctionne 🙂

Une faille de sécurité repérée au niveau d'Android touche actuellement des smartphones populaires, celle-ci est jugée critique par le groupe de recherche Google Project Zero.

Cette vulnérabilité permet de prendre le contrôle total d'un appareil dès lors que l'attaque réussit. Pour exploiter cette faille, il y a deux possibilités : via l'installation d'une application malveillante sur votre appareil, ou via un site web qui va exploiter une seconde faille contenue dans le navigateur Chrome pour attaquer votre appareil.

Dans la liste des modèles concernés, nous retrouvons des modèles très répandus, notamment :

- Google Pixel XL, Pixel 2, Pixel 2 XL
- Huawei P20
- Samsung Galaxy S7, Galaxy S8, Galaxy S9
- Xiaomi Redmi 5A, Redmi Note 5, Mi A1
- Oppo A3
- Motorola Z3
- Les smartphones LG sous Android Oreo

Selon Maddie Stone du Google Project Zero, cette vulnérabilité a été exploitée par l'entreprise israélienne NSO Group qui vend des logiciels espions à des gouvernements. L'entreprise a démenti ces accusations. Pour rappel, ce sont eux qui sont à l'origine du spyware Pegasus qui ciblait les appareils sous iOS.

Rassurez-vous, les développeurs sont déjà sur le front pour corriger cette vulnérabilité et celle-ci va bénéficier d'un correctif dans la mise à jour de sécurité d'Octobre 2019. Sur les modèles Pixel, ce sera forcément plus rapide à venir que sur les autres modèles où nous sommes dépendant de la réactivité de Samsung et consort. Il n'est pas précisé si les derniers modèles de Samsung sont touchés, notamment le modèle Samsung Galaxy S10.

Key Series, c'est le nom de la ligne d'écouteurs sans-fil d'AUKEY et celle-ci se veut haut de gamme, de par son design, sa qualité de fabrication et sa qualité sonore.

Il faut savoir que AUKEY a investi plus de 30% de son budget annuel R&D dans la conception de cette gamme de produits. L'objectif étant de se démarquer sur le marché des écouteurs sans-fil où l'on retrouve une quantité de produits différents conséquente, avec une qualité de finition et sonore variable.

Disponibles à la vente depuis le printemps 2019, nous retrouvons les modèles Key Series B60, Key Series B80 et Key Series T10. Un quatrième modèle, nommé Key Series B33 devrait voir le jour prochainement.

Rappelez-vous, en mai dernier, j'avais publié le test des écouteurs Key Series B80 que vous pouvez retrouver à cette adresse : Test AUKEY Key Series B80

Concernant les autres modèles, voici ce que je peux vous en dire :

- AUKEY Key Series B60

Dans le même esprit que le modèle B80 que j'ai pu tester, nous retrouvons le modèle B60 qui est également de type tour de cou, destiné aux sportifs. Cela n'empêche pas d'avoir une connectivité sans-fil avec le smartphone, mais notons toutefois le fil entre les deux oreillettes.

Au niveau de l'étanchéité, il y a une certification IPX6 sur ce modèle. L'autonomie annoncée est de 8 heures de fonctionnement, il faudra ensuite les recharger par USB. Le contrôle de la musique s'effectue grâce au boîtier de commande intégré au câble qui relie les deux écouteurs.

Sachez tout de même que le modèle Key Series B80 est plus haut de gamme vis-à-vis de celui-ci. Le modèle B60 est proposé à 59,99 € sur Amazon.

📌 Voir sur Amazon

 

- AUKEY Key Series T10

Très compact et true wireless, AUKEY a travaillé sur l'autonomie de ces écouteurs en promettant 7 heures de fonctionnement. Une autonomie qui pourra atteindre 24 heures puisque le boîtier de recharge offre 2,5 charges supplémentaires.

D'ailleurs, le boîtier de recharge peut charger sa propre batterie grâce à sa connectique USB-C, mais également grâce à la recharge sans-fil Qi. Les surfaces des écouteurs sont tactiles, ce qui permet de contrôler sa musique, mais également d'interagir avec l'assistant vocal de votre smartphone (Siri ou OK Google).

Ces écouteurs sans-fil fonctionnent à l'aide d'une connexion Bluetooth 5.0, à l'instar des deux modèles précédents. Grâce à une étanchéité IPX5, ils sont protégés contre la transpiration et la pluie légère.

Enfin, sachez que ce modèle proposé à 99,99 euros a gagné le prix du Design à l'IF 2019.

📌 Voir sur Amazon

 

- AUKEY Key Series B33

Egalement en tour de cou, mais cette fois-ci rigide, pour faciliter la tenue même sans avoir les écouteurs dans les oreilles, les écouteurs AUKEY Key Series B33 sont disponibles depuis lundi sur Amazon. Ce modèle profite de la recharge rapide en USB-C où 10 minutes de charge suffisent à obtenir 2 heures d'autonomie. A pleine charge, comptez 8 heures d'autonomie.

Le boîtier de commande intègre différents boutons, notamment pour gérer le volume, mais également un bouton pour switcher entre 3 préréglages d'égalisation sonore. Assez atypique. Les écouteurs sont aimantés, lorsqu'ils sont collés l'un à l'autre, la musique se met automatiquement en pause.

Dès à présent disponible sur Amazon à 79,99 €.

📌 Voir sur Amazon

Plusieurs mois après la sortie de cette gamme de produits chez AUKEY, les avis sont très bons et j'utilise pour ma part les écouteurs Key Series B80 presque à chaque sortie running 😉

I. Présentation

Lors de la mise en place d'un serveur Radius sous Windows Server au travers du rôle NPS, il faut ajouter les clients Radius à la configuration. Les clients Radius peuvent correspondre à vos switchs, vos bornes Wi-Fi, etc... en fonction de la configuration que vous souhaitez mettre en place.

Pour ajouter un client Radius, on peut bien sûr le faire via la console de gestion en mode graphique mais aussi en PowerShell, c'est ce que je vous propose de voir. Dans ce tutoriel, nous allons construire un fichier CSV contenant la liste des clients Radius et ensuite les importer sur notre serveur.

II. Le fichier CSV pour Radius

Nous allons créer un fichier CSV, avec deux colonnes : le nom du client Radius et son adresse IP. Ensuite, sur chaque ligne, on va ajouter un client Radius. Ce qui donne :

Name;IPAddress
ClientRadius1;192.168.1.11
ClientRadius2;192.168.1.12
ClientRadius3;192.168.1.13
ClientRadius4;192.168.1.14

 

Note : Si vous souhaitez utiliser un secret partagé par client Radius, c'est possible ! Il suffit d'ajouter une colonne supplémentaire dans le fichier CSV et de l'exploiter ensuite dans le script.

Notre fichier étant prêt, nous pouvons passer à la suite.

III. Ajouter des clients Radius avec PowerShell

Ouvrez votre éditeur de script préféré, PowerShell ISE ou un autre, pour coder le script. Commençons par déclarer deux variables :

• $RadiusClientFile : il va contenir le contenu du fichier CSV que l'on importe via Import-CSV
• $SharedSecret : le secret partagé, unique, qui sera utilisé sur tous les clients que l'on va créer

Ce qui nous donne :

$RadiusClientFile = Import-CSV -Delimiter ";" -Path "C:\Liste_AP.csv"
$SharedSecret = "MonSecretPartageDeFou"

Maintenant, il ne reste plus qu'à faire une boucle pour traiter chaque ligne du fichier CSV et ajouter chaque client Radius :

Foreach($ClientRadius in $RadiusClientFile){
   New-NpsRadiusClient -Address $ClientRadius.IPAddress -Name $ClientRadius.Name -SharedSecret $SharedSecret
}

En PowerShell, le cmdlet New-NpsRadiusClient va permettre de créer les clients Radius grâce à trois paramètres : l'adresse IP, le nom et le secret partagé. Cela tombe bien, ce sont des infos que l'on a 😉

Vous avez donc le script suivant :

$RadiusClientFile = Import-CSV -Delimiter ";" -Path "C:\Liste_AP.csv"
$SharedSecret = "MonSecretPartageDeFou"

Foreach($ClientRadius in $RadiusClientFile){
   New-NpsRadiusClient -Address $ClientRadius.IPAddress -Name $ClientRadius.Name -SharedSecret $SharedSecret
}

➡ Il ne reste plus qu'à le sauvegarder et à l'exécuter sur votre serveur NPS.