I. Présentation

Dans le monde des VPN nomades Open Source, OpenVPN s'est tapé la part du lion pendant de nombreuses années. Mais c'était sans compter sur Jason Donenfeld qui développa le protocole WireGuard. Celui-ci propose de plus grandes performances, un code moins lourd et une facilité d'administration, quoi de mieux?

Ce protocole est donc en pleine expansion, Free l'a d'ailleurs implémenté directement dans ses box de dernière génération.

Cela dit, la configuration en ligne de commande peut en rebuter certains, donc pour faciliter encore plus la création et le maintien des tunnels, des aficionados ont eu la très bonne idée de packager WireGuard avec une WebUI pour en faire un soft "user friendly" et utilisable de suite.

De plus, ils y ont ajouté la possibilité d'utiliser un fournisseur SSO compatible OpenID (Google, Azure AD, par exemple) et une gestion facilitée de nftables (attention, pour trafic sortant uniquement!)

Dans ce tutoriel, nous allons donc voir comment installer Firezone et créer nos tunnels VPN.

• Mise en place de WireGuard VPN sur Debian 11

II. Installation de Firezone

Firezone est disponible sur Github ou sur leur site officiel. Il est compatible avec beaucoup de distributions Linux  vous trouverez donc forcément celle qui vous convient. L'installation se fait simplement en une ligne, les développeurs proposant un script d'installation prêt à l'emploi.

Pour ma part, je vais faire cette installation sur Ubuntu server 22.04, mais vous pouvez prendre n'importe quelle distribution de la liste ci-dessus.

Tout d'abord, les prérequis :

• Les développeurs conseillent de démarrer avec 1 vCPU et 1 Go de RAM, et d'augmenter ces ressources en fonction du nombre d'utilisateurs.
• Si vous déployez Firezone en production, il vous faudra un enregistrement DNS ainsi qu'un certificat, il est possible bien sûr d'en installer un de chez Let's Encrypt.
• Enfin, il vous faudra ouvrir les ports 443 pour la WebUI et 51820 en UDP pour les tunnels.

Bien, passons maintenant à l'installation. Premièrement, on se connecte en SSH et on en profite pour mettre à jour les paquets :

sudo apt update && sudo apt upgrade -y

Maintenant que cela est fait, passons à l'installation à proprement parlé :

sudo -E bash -c "$(curl -fsSL https://github.com/firezone/firezone/raw/master/scripts/install.sh)"

Vous risquez d'voir une question :

WireGuard kernel module found, but not loaded. Load it now? (Y/n):

Bien entendu, il faut répondre oui ici.

Viennent ensuite les questions de personnalisation :

• Mail administrateur : rentrez le mail que vous souhaitez utiliser pour vous connecter à l'instance
• Choisissez si vous souhaitez recevoir des mails de la part de l'équipe de Firezone

Il vous suffira de taper la touche "Entrée "pour lancer l'installation.

Note : vérifiez si vous avez un dossier nommé "cron.hourly" dans votre répertoire "/etc". Si ce n'est pas le cas, créez-le, car l'installateur ne le fera pas et affichera une erreur.

À la fin de l'installation, il vous affichera l'adresse publique de la machine, votre identifiant et votre mot de passe. Bien entendu, vous pouvez tout à fait vous connecter en local, c'est ce que j'ai fait sans problème.

III. Configuration de Firezone

Connectez-vous donc avec vos identifiants (pensez à les noter!!), vous arriverez sur le dashboard de la solution :

Comme vous pouvez le constater, il s'est occupé de nous créer un profil VPN. Celui-ci est immédiatement utilisable, mais pour l'exemple, nous allons en créer un autre.

Pour cela, rien de plus simple : il suffit de cliquer sur le bouton "Add User".

Remplissez les informations, attention le mot de passe doit faire au minimum 12 caractères !

Une fois l'utilisateur créé, vous allez obtenir une page récapitulative. D'ici vous pourrez : réinitialiser le mot de passe de l'utilisateur, le désactiver, le promouvoir en admin ou encore le supprimer définitivement. Cela rend la gestion des utilisateurs beaucoup plus simple et intuitive !

Par contre, vous avez peut-être remarqué un bouton :

Ce dispositif permet de monitorer en temps réel qui est connecté et avec quoi. Sur la page de création du périphérique, nous allons pouvoir lui donner un nom, une description, mais également lui spécifier des adresses autorisées, des DNS, etc. À noter que l'assistant de création prend les réglages par défaut de Firezone, nous pouvons donc ici les modifier de manière spécifique pour un  client particulier.

Pour l'instant, laissons tout par défaut et validons.

Note : les développeurs de Firezone préconisent de laisser le client générer sa propre configuration, ceci pour que sa clé privée ne soit affichée que pour lui. L'utilisateur peut donc tout à fait enregistrer son périphérique en se connectant à l'interface.

Une fois la validation effectuée, nous avons la clé privée qui s'affiche, ainsi qu'un QR code et la possibilité de télécharger le fichier de configuration :

Je l'affiche ici, car je ne réutiliserai pas cette configuration, mais il va de soi que c'est personnel ! Pensez bien à tout récupérer, car il sera impossible d’afficher à nouveau cette page!

Donc là plusieurs solution, si le client l'a généré lui-même, il peut tout à fait scanner le QR code avec son smartphone par exemple, c'est ce que j'ai fait :

Maintenant, si ce n'est pas déjà fait, il faut ouvrir les ports dans votre Firewall et rediriger le trafic vers votre serveur Firezone. Je ne détaillerais pas la manipulation, car elle diffère selon les fournisseurs, je vous laisse donc vous rapprocher du manuel. Pour ma part, je ne compte pas manager les comptes à distance, je n'ouvre donc que le port consacré au trafic de Wireguard à savoir le 51820 en UDP.

Une fois les ports ouverts, nous pouvons tester. Si le tunnel monte, nous verrons apparaître la ligne correspondante dans la section "Devices" sur le serveur :

Ici, je vois donc qui est connecté, d'où et le débit utilisé.

Pour la connexion depuis un poste, l'utilisation du QR code n'étant pas possible, il faut télécharger le client Wireguard disponible ici.

Une fois téléchargé, importez le fichier de configuration précédemment généré puis cliquer sur "Activer" pour lancer le tunnel.

IV. Filtrage des flux

Lors de la création de notre utilisateur, nous avons laissé toutes les options par défaut.

Mais il est possible d'en affiner certaines, dont les adresses autorisées pour les clients. En effet, de base, un tunnel VPN crée une connexion de un vers tous, c'est-à-dire que tous les périphériques du réseau cible seront accessibles. Dans un environnement de production, ce n'est pas souhaitable, car cela peut représenter un risque de sécurité.

Imaginons donc que je ne souhaite rendre disponible que l'interface Web de Firezone et un serveur en RDP.

Sur l'interface de Firezone, cliquez sur "Rules". Leur application est très simple : Allow ou Deny. On peut spécifier une adresse, une plage d'adresse, le ou les utilisateurs concernés ainsi que le protocole de couche 4 et le port, de qui faire quelque chose de très fin!

Donc, commençons par la règle pour l’accès à la WebUI de Firezone :

Bien, maintenant passons à celle concernant le RDP sur le serveur :

Parfait, maintenant, si on teste, on est OK, on a bien accès aux services, mais qu'en est-il des autres services ? Exemple avec mon NAS :

Oups... Et oui, nous avons spécifié des adresses autorisées, mais aucune interdite! Comme je veux qu'aucune autre adresse ne soit atteignable via le tunnel, je renseigne la plage en entier en "Deny" :

Bien sûr je spécifie tous les protocoles, comme ça, rien ne sera accessible à part ce que j'ai autorisé.

Si je vérifie maintenant, je n'ai plus accès à mon NAS :

Note : si votre Firezone est sur un hyperviseur, celui-ci restera atteignable, même si vous le spécifiez dans les adresses interdites. Cela est sûrement dû au fait du "partage" de la carte réseau, je n'ai pas encore creusé, mais sachez-le...

V. Split Tunneling

La manipulation précédente est dans le cas où vous souhaitez que tout le trafic des clients passe dans le tunnel, ce qui peut être une bonne chose si vous bénéficiez d'un UTM avec des fonctionnalités de sécurité avancées (Proxy DNS, filtrage web, etc). Par contre, vous souhaitez peut-être que vos clients n’accèdent qu'aux ressources spécifiées via VPN, mais utilisent leur propre connexion pour le reste (Internet par exemple) c'est ce qu'on appelle le split tunneling.

Pour le mettre en place, il faut modifier les adresses autorisées dans les paramètres du site, section "Defaults".

Note : toute modification dans cette section entraînera la nécessité de régénérer les configurations!

Nous allons donc spécifier les adresses accessibles via le tunnel, donc pour moi 192.168.1.34 et 192.168.1.55 :

Si jamais vos utilisateurs utilisent un nom de ressources, n'oubliez pas non plus de spécifier vos DNS internes, sans quoi ils ne pourront pas faire la résolution!

Maintenant que c'est fait, j'ai bien toujours accès à mes ressources, mais en revanche, si je vais sur whatsmyip.org, je constate que mon adresse publique est bien celle de l'endroit où je me trouve, et plus celle du serveur VPN ! Il s'agit donc bien d'un tunnel VPN en mode "split tunneling".

VI. Conclusion

Nous avons vu comment, de manière simple et "user friendly" configurer des tunnels VPN à destination de télétravailleurs ou travailleurs nomades, en utilisant la solution Wireguard au travers de Firezone.

Firezone est prometteur, car il démocratise l'utilisation de Wireguard, augmentant ainsi la sécurité des connexions.

En complément, vous trouverez la doc ici, elle est relativement complète (même si certaines parties mériteraient un peu plus d'explications...).

Pour aller plus loin, si vous ouvrez votre interface Web sur Internet, n'hésitez pas à sécuriser votre serveur avec Crowdsec : les tutos sont disponibles sur IT-Connect !

The post Gérer son VPN WireGuard facilement avec Firezone first appeared on IT-Connect.

Aujourd'hui, c'est le deuxième jour de l'événement Amazon Prime Day ! L'occasion de partager avec vous une sélection d'offres high-tech !

Je vous rappelle que vous pouvez essayer Amazon Prime pendant 30 jours sans frais (et annuler à tout moment), en suivant ce lien : Amazon Prime.

Mon précédent article avec les offres du 11 octobre 2022 est toujours disponible : Amazon Prime Day - 11 Octobre 2022.

Montre connectée Apple Watch SE 2021 GPS + Cellular

• Prix : 289 euros au lieu de 369 euros
• Lien vers l'offre Amazon

PC Portable 15.6" - Modèle Huawei MateBook D15 (2021) - Intel Core i3-1115G4 - 8 Go RAM - SSD 256 Go - WiFi 6 - Windows 11

• Prix : 399,99 euros au lieu de 499,99 euros
• Lien vers l'offre Amazon

PC Portable 13" - Microsoft Surface Pro 8 - Intel Core i5 - 8 Go RAM - SSD 128 Go - Windows 11 + Clavier

• Prix : 849,99 euros au lieu de 1218 euros
• Lien vers l'offre Amazon

Switch Manageable 8 ports - Netgear GS308E-100PES

• Prix : 19,99 euros au lieu de 33 euros
• Lien vers l'offre Amazon

Disque SSD portable - 2 To - Crucial CT2000X6SSD9 X6

• Prix : 129,99 euros au lieu de 139,99 euros
• Lien vers l'offre Amazon

Disque SSD interne - 2 To - Samsung 870 QVO MZ-77Q2T0BW - Technologie QLC de 2nd génération

• Prix : 142,49 euros au lieu de 173,25 euros
• Lien vers l'offre Amazon

Aspirateur robot - Ecovacs DEEBOT X1+ avec station de vidage automatique

• Prix : 799 euros au lieu de 999 euros
• Lien vers l'offre Amazon

Aspirateur robot - Ecovacs DEEBOT N8+ avec station de vidage automatique

• Prix : 369 euros au lieu de 499 euros
• Lien vers l'offre Amazon

The post Amazon Prime Day – Les offres high-tech du 12 octobre 2022 first appeared on IT-Connect.

VMware informe ses utilisateurs qu'une faille de sécurité découverte en novembre 2021 au sein de vCenter Server présente dans le mécanisme d'authentification IWA (Integrated Windows Authentication) est toujours en attente d'un correctif.

En exploitant cette vulnérabilité associée à la référence CVE-2021-22048 (score CVSSv3 de 7,1 sur 10), un attaquant sans droits d'administration sur un serveur VMware vCenter peut élever ses privilèges en bénéficiant des droits d'un groupe avec plus de privilèges. Dans le bulletin de sécurité de VMware, on peut lire : "Le serveur vCenter contient une vulnérabilité d'élévation de privilèges dans le mécanisme d'authentification IWA (Integrated Windows Authentication)". En fait, cela permet de s'authentifier à partir de ses informations d'identification Windows.

Signalée à VMware le 10 novembre 2021 par Yaron Zinar et Sagi Sheinfeld de chez CrowdStrike, cette vulnérabilité a reçu un correctif de sécurité en juillet 2022, notamment pour les serveurs avec la version vCenter Server 7.0 Update 3f (dernière version disponible à cette date). Toutefois, 11 jours plus tard, VMware a retiré le correctif car il ne corrigeait pas correctement la vulnérabilité et qu'il causait des problèmes avec le service Secure Token Service. VMware précise : "VMware a déterminé que les mises à jour de vCenter 7.0u3f mentionnées précédemment dans la matrice de réponse ne corrigent pas CVE-2021-22048 et introduisent un problème fonctionnel."

Pour le moment, il n'existe toujours pas de correctif pour cette faille de sécurité. En attendant, VMware propose tout de même une solution temporaire à ses utilisateurs. L'entreprise américaine recommande aux administrateurs de basculer sur l'authentification Active Directory ou sur le mode Identity Provider Federation for AD FS (uniquement pour vSphere 7.0), au lieu de la méthode IWA.

Il y a des documentations disponibles sur le site de VMware pour vous guider :

• Configuring a vCenter Single Sign-On Identity Source using LDAP with SSL (LDAPS) (2041378)
• Active Directory over LDAP and OpenLDAP Server Identity Source Settings

Cette faille de sécurité affecte VMware vCenter Server 6.5, 6.7, 7.0 ainsi que la dernière version : 8.0. Par ailleurs, la version Cloud Foundation est également impactée.

Source

The post VMware vCenter : cette vulnérabilité découverte en 2021 reste sans correctif de sécurité first appeared on IT-Connect.

Microsoft vient d'annoncer que toutes les machines Windows où la mise à jour d'Octobre 2022 est installée peuvent profiter d'une nouvelle fonction de sécurité qui consiste à bloquer les attaques par brute force sur le compte administrateur.

Dévoilée en juillet dernier par David Weston, cette nouvelle fonctionnalité orientée sécurité vise à renforcer la protection du compte Administrateur des machines Windows. Jusqu'ici, on avait pu avoir un aperçu des travaux de Microsoft uniquement dans les builds de Windows 11 en phase de développement.

Aujourd'hui, on apprend que la protection anti-brute force sur le compte Administrateur de Windows est une fonctionnalité disponible sur toutes les machines Windows où la mise à jour cumulative d'Octobre 2022 est installée. Microsoft précise : "Afin d'éviter de nouvelles attaques/tentatives par brute force, nous mettons en place un verrouillage des comptes administrateurs.".

Cela se traduit par l'apparition d'un nouveau paramètre de GPO (local ou Active Directory) nommé "Autoriser le verrouillage du compte Administrateur".

À titre d'exemple, voici la stratégie locale d'une machine Windows 10 avant l'installation de la mise à jour d'octobre (Mises à jour Windows 10 d’octobre 2022 : KB5018410 et KB5018419) :

Puis, après l'installation de la mise, on voit bien qu'un nouveau paramètre est disponible :

Attention, ce nouveau paramètre sera activé par défaut sur les nouvelles installations de Windows 11 22H2, ainsi que toutes les machines fraîchement installées sous Windows avec la mise à jour d'octobre 2022 déployée avant l'initialisation complète de la machine. Sinon, cela nécessite de faire la configuration manuellement.

Microsoft recommande d'adopter le paramètre suivant pour le verrouillage des comptes : verrouiller un compte utilisateur pendant 10 minutes dans le cas où il y a 10 tentatives de connexion en échec dans un laps de temps de 10 minutes.

Microsoft a également annoncé que les comptes d'administrateurs locaux doivent utiliser des mots de passe plus complexes. En effet, ils "doivent comporter au moins trois des quatre types de caractères de base (minuscules, majuscules, chiffres et symboles)". Toujours dans l'objectif de protéger l'accès administrateur.

Sachez que vous pouvez configurer manuellement la politique de verrouillage de comptes par l'intermédiaire d'un Active Directory comme je l'expliquais dans un précédent tutoriel (voir ici).

Source

The post Désormais, Windows peut bloquer les attaques brute force sur le compte Administrateur first appeared on IT-Connect.

Au même titre que pour Windows 10, Microsoft a mis en ligne une nouvelle mise à jour pour Windows 11. Il s'agit de la mise à jour KB5018427. Quels sont les changements apportés par cette mise à jour ?

• Microsoft - Patch Tuesday - Octobre 2022
• Windows 10 - Mises à jour d'Octobre 2022

La mise à jour KB5018427 est disponible pour Windows 11 et elle permet de corriger des failles de sécurité, ainsi que divers bugs au sein du système de Microsoft. Au total, la firme de Redmond a corrigé environ 30 bugs, tout en mettant en avant les corrections suivantes :

• Résolution d'un problème qui vous empêche de vous connecter à diverses applications Microsoft Office 365. Cela affecte Outlook, Word, Teams, etc.
• Résolution d'un problème qui affecte le service de recherche Windows. La progression de l'indexation du service est alors lente.
• Résolution d'un problème qui affecte robocopy et notamment l'option /IS.
• Résolution des problèmes qui provoquent l'échec des mises à jour du Microsoft Store.
• Résolution d'un problème qui force les onglets du mode IE dans une session à se recharger lorsque vous utilisez Microsoft Edge.
• Résolution d'un problème qui ouvre avec succès une fenêtre de navigateur Microsoft Edge en mode IE pour afficher un fichier PDF. Plus tard, la navigation vers un autre site en mode IE dans la même fenêtre échoue.
• Ajoute du contenu Widgets plus dynamique à votre barre des tâches avec un badge de notification.
• Résolution d'un problème affectant les appels en mode Double SIM. Si vous ne sélectionnez aucune SIM sur votre téléphone et que vous lancez un appel sur votre appareil, la fonctionnalité Double SIM ne fonctionne pas.
• Résolution d'un problème affectant certaines applications qui n'étaient pas signées par le Microsoft Store. Vous devez les réinstaller après avoir mis à niveau le système d'exploitation.

La liste complète des changements est disponible sur cette page. Même si vous n'êtes pas concerné directement par les bugs corrigés, il est important d'installer la mise à jour pour bénéficier des derniers correctifs de sécurité.

Cette mise à jour est disponible via les canaux habituels, notamment Windows Update, les serveurs WSUS ou encore le catalogue Microsoft Update. Après l'installation de cette mise à jour, Windows 11 passe sur le numéro de version 22621.674.

Source

The post Mise à jour d’octobre 2022 pour Windows 11 : KB5018427 first appeared on IT-Connect.