PROJET AUTOBLOG

IT-Connect

Site original : IT-Connect

⇐ retour index

PfSense et Squid : ajouter le filtrage par catégories avec Squid Guard

mercredi 15 décembre 2021 à 13:00

I. Présentation

Dans ce tutoriel, nous allons voir comment installer et configurer Squid Guard sur un pare-feu PfSense pour permettre à notre proxy Squid d'effectuer du filtrage de sites Web basé sur des catégories, via une blacklist.

Au sein de Squid, sans Squid Guard donc, on peut mettre en place des ACLs et notamment bloquer des noms de domaine. Le problème, c'est que l'on ne peut pas créer de catégories pour regrouper plusieurs domaines, et on ne peut pas non plus créer des restrictions selon des plages horaires. Embêtant.

Grâce à Squid Guard, on va pouvoir utiliser une Blacklist existante, c'est-à-dire une liste noire de domaines organisés par catégories, afin d'affiner le filtrage au sein de notre proxy Squid. En complément, on pourra mettre en place des règles en fonction de plages horaires, de groupes utilisateurs, etc. De cette façon, vous allez pouvoir configurer votre proxy de manière à bloquer tous les sites liés à la pornographie.

La mise en place de Squid Guard nécessite au préalable d'avoir mis en place un proxy avec Squid puisque ce paquet vient en complément. Je vous invite à suivre mon tutoriel sur le sujet : Tutoriel - Proxy transparent avec Squid sur PfSense

II. Installation de Squid Guard sur PfSense

L'installation de ce paquet sur PfSense passe par le menu habituel sous "System", puis "Package manager". Dans la section "Available Packages", recherchez "squid" et vous devriez voir le paquet Squid Guard apparaître. Il ne reste plus qu'à cliquer sur le bouton "Install".

Une fois que c'est fait, nous pouvons passer à la configuration via le menu "Services" où se trouve une entrée "SquidGuard Proxy Filter".

III. Configuration de Squid Guard sur PfSense

Pour le moment, on va s'intéresser à l'onglet "General Settings". N'allait pas trop vite : ne cochez pas l'option "Check this option to enable SquidGuard" pour le moment, car il faut le préconfigurer avant de l'activer.

Cochez les deux options suivantes pour activer les logs : "Enable GUI Log" et "Enable log".

Au sein de la section "Blacklist", cochez l'option "Check this option to enable blacklist" afin d'activer l'utilisation d'une blacklist, c'est-à-dire une liste noire. Nous allons utiliser la liste noire de L'Université Toulouse Capitole, car elle est française, fiable et elle existe depuis depuis plusieurs années. Elle contient de nombreuses catégories afin de répartir les sites et permettre un blocage ciblé selon certaines catégories.

Ensuite, renseignez l'option "Blacklist URL" avec l'URL suivante :

http://dsi.ut-capitole.fr/blacklists/download/blacklists_for_pfsense.tar.gz

Enfin, cliquez sur le bouton "Save".

Maintenant, basculez sur l'onglet "Blacklist" de SquidGuard. Cliquez sur le bouton "Download" pour télécharger la dernière version de la liste noire que nous avons renseignée dans les paramètres de SquidGuard.

Afin d'exploiter la liste noire, nous devons créer des règles sous la forme d'ACL. Cliquez sur "Common ACL" afin de créer une règle de base et commune au sein de Squid, tandis que la section "Groups ACL" permet de créer des ACL ciblées avec plusieurs critères (par exemple : "bloquer une catégorie selon une plage horaire spécifique" ou "bloquer une catégorie à tous les membres d'un groupe Active Directory").

Au sein du champ "Target Rules List", vous avez la liste de toutes les catégories récupérées à partir de la blacklist toulousaine.

Je vous propose de bloquer la catégorie "VPN" correspondante à "[blk_blacklists_vpn]", il faut donc modifier la valeur du champ "access" pour préciser "deny". En complément, pensez à configurer la valeur du champ "Default access [all]" sur "allow" pour autoriser toutes les autres catégories (par défaut).

Afin d'éviter qu'un petit malin contourne la restriction en précisant l'adresse IP du serveur distant à la place du nom de domaine, cochez l'option "Do not allow IP-Addresses in URL". En complément, si vous souhaitez utiliser la fonction SafeSearch des moteurs de recherche, cochez la case "Use SafeSearch Engine", tout en sachant que cela permet d'utiliser Google, Bing, DuckDuckGo, Qwant, etc.

Enfin, activez les logs pour cette règle en cochant l'option "Log" tout en bas, puis cliquez sur "Save".

La configuration étant prête, retournez dans "General Settings", cochez l'option "Check this option to enable SquidGuard" et cliquez sur "Apply".

Le statut du service SquidGuard doit changer et passer sur "STARTED". Si ce n'est pas le cas, vérifiez que Squid est bien démarré de son côté.

Remarque importante : à chaque fois que vous modifiez la configuration de Squid Guard (exemple : bloquer une catégorie supplémentaire), il faut impérativement venir dans l'onglet "General Settings" pour cliquer sur le bouton "Apply" sinon les modifications ne sont pas prises en compte !

À partir d'un poste client, tentez d'accéder à un site en rapport avec la thématique "VPN", comme le site de NordVPN et vous verrez que la connexion est en erreur. En réalité, c'est SquidGuard qui est intervenu pour bloquer la connexion à ce site, conformément à la politique de filtrage mise en place.

Pour aller plus loin, je vous invite à regarder deux onglets en particulier : "Times" pour créer des plages horaires" et "Groups ACL" pour créer des règles basées sur plusieurs critères. Sachez également que la section "Target categories" vous permet de créer des listes personnalisées.

The post PfSense et Squid : ajouter le filtrage par catégories avec Squid Guard first appeared on IT-Connect.

Microsoft Exchange : les pirates volent des identifiants avec un module IIS

mercredi 15 décembre 2021 à 10:54

Afin de voler des identifiants de messagerie, des pirates informatiques installent un module nommé "Owowa" sur le serveur Web IIS associé au serveur Outlook Web Access. Ce module permet également d'exécuter des commandes à distance sur le serveur.

D'après les informations collectées sur le site VirusTotal, le module malveillant "Owowa" serait en circulation depuis 2020. La version la plus récente serait sortie en avril 2021, selon les données de télémétrie récoltées par Kaspersky.

Pour le moment, la France ne semble pas ciblée puisque les attaques concernent des serveurs basés en Asie : en Malaisie, Mongolie, Indonésie et aux Philippines. Plus précisément, ce sont des serveurs de messagerie appartenant à des organisations gouvernementales et des entreprises de transport public qui sont ciblées.

Depuis plusieurs mois, les serveurs de messagerie Microsoft Exchange représentent la cible idéale suite à la publication de plusieurs failles de sécurité critiques et exploitables à distance, notamment les failles ProxyLogon. Grâce à ce module IIS, les pirates peuvent déposer une porte dérobée persistante et difficile à détecter. C'est en envoyant une requête sur le Webmail du serveur Exchange (OWA) que le module "Owowa" parvient à réceptionner et exécuter la commande en toute discrétion.

Le module Owowa est capable de récolter les identifiants des utilisateurs qui s'authentifient sur le webmail Outlook Web Access. Lorsqu'un token d'authentification est généré par OWA, cela signifie que l'authentification est réussie, donc c'est à ce moment-là que le module malveillant récupère les informations. Plus précisément, le module Owowa récupère le nom d'utilisateur, le mot de passe, l'adresse IP de l'utilisateur, ainsi que la date et l'heure. Ensuite, le pirate n'a plus qu'à récupérer les informations collectées par le module Owowa.

En complément, l'attaquant peut exécuter des commandes à distance sur le serveur, notamment en s'appuyant sur PowerShell, toujours via le module Owowa.

Au sein de la console IIS, le module malveillant n'est pas forcément nommé "Owowa" mais plutôt "ExtenderControlDesigner" au sein du site "OWA" (correspondant à Outlook Web Access), comme vous pouvez le voir sur l'image ci-dessous.

Module IIS - owowa

Source

The post Microsoft Exchange : les pirates volent des identifiants avec un module IIS first appeared on IT-Connect.

Windows 10 KB5008212 et KB5008206 : les màj cumulatives de décembre

mercredi 15 décembre 2021 à 10:17

Les dernières mises à jour cumulatives de l'année 2021 pour Windows 10 sont disponibles dès maintenant au téléchargement : KB5008212 et KB5008206 ! Faisons le point sur les changements apportés par Microsoft.

Au sein de cette nouvelle mise à jour cumulative, nous retrouvons les mises à jour de sécurité, mais aussi des correctifs pour des bugs, dont voici quelques exemples de bugs corrigés :

- Excel 32 bits plante complètement sur certains PC lors d'un export au format PDF

- Le panneau des Paramètres se ferme brutalement après avoir désinstallé une police d'écriture

- Après un crash d'un service, la fonction Xbox Game Bar ne parvient plus à enregistrer l'écran ni à prendre des captures

- Les applications fréquemment utilisées n'apparaissent pas dans le menu Démarrer

Etc...

Voici un résumé des KB en fonction des versions de Windows 10 :

- Windows 10 versions 2004, 20H2, 21H1 et 21H2 : KB5008212
- Windows 10 version 1909 : KB5008206
- Windows 10 version 1903 : Fin de support
- Windows 10 version 1809 : KB5008218
- Windows 10 version 1803 : Fin de support
- Windows 10 version 1709 : Fin de support
- Windows 10 version 1703 : Fin de support
- Windows 10 version 1607 : KB5008207
- Windows 10 version 1507 : KB5008230

Ces mises à jour sont disponibles via les canaux habituels : Windows Update, WSUS et Microsoft Update Catalog.

D'un autre côté, Microsoft a publié la mise à jour cumulative pour Windows 11, ainsi que le Patch Tuesday - Décembre 2021.

D'ailleurs, le Patch Tuesday fait référence à une mise à jour de sécurité pour le Spouleur d'impression de Windows, pour toutes les versions : méfiance. 🙂

Source

The post Windows 10 KB5008212 et KB5008206 : les màj cumulatives de décembre first appeared on IT-Connect.

Windows 11 – KB5008215 : mise à jour cumulative de décembre

mercredi 15 décembre 2021 à 09:55

Microsoft a publié une nouvelle mise à jour cumulative pour Windows 11 : KB5008215. Cette mise à jour contient des correctifs pour des bugs et des failles de sécurité.

La grande question, c'est "quelles sont les nouveautés de la KB5008215 ?". Et bien, ce n'est pas si simple de répondre à cette question car Microsoft ne s'est pas montré très bavard cette fois-ci. Sur le site officiel, on peut lire : "Cette mise à jour contient diverses améliorations liées à la sécurité des fonctionnalités internes du système d'exploitation. Aucun problème supplémentaire n'a été documenté pour cette mise à jour.".

En se référant à la preview de cette mise à jour publiée le mois dernier, il pourrait y avoir les deux changements suivants :

- Résolution d'un problème qui empêche l'ouverture de certaines applications comme Kaspersky, après avoir tenté une mise à jour ou une réparation à partir d'un package MSI

- Résolution d'un problème qui empêche la connexion à un tunnel VPN, avec le message d'erreur suivant : "The Modem (or other connecting device) is already in use or not configured properly".

Pour installer cette mise à jour sur votre PC sous Windows 11, il suffit de se rendre dans les paramètres puis dans Windows Update afin de rechercher cette mise à jour. Bien sûr, elle est disponible également dans WSUS.

A lire aussi : Patch Tuesday - Décembre 2021.

Source

The post Windows 11 – KB5008215 : mise à jour cumulative de décembre first appeared on IT-Connect.

Microsoft Teams : le chiffrement bout-en-bout disponible pour tous !

mercredi 15 décembre 2021 à 09:21

Microsoft a annoncé que le support du chiffrement bout en bout dans Teams est disponible pour tout le monde dès aujourd'hui ! 

Un peu moins de deux mois après avoir annoncé la version Bêta de la fonctionnalité de chiffrement bout en bout pour Teams, Microsoft vient de publier officiellement cette fonction qui a pour objectif d'améliorer la sécurité des appels entre deux personnes. Grâce à cela, Microsoft comble son retard sur la concurrence puisque le chiffrement bout en bout est déjà proposé chez Zoom, WhatsApp, ou encore FaceTime.

C'est une bonne nouvelle d'un point de vue de la sécurité puisque le chiffrement bout en bout va permettre de chiffrer les données donc elles sont protégées et illisibles, ce qui permet de se protéger de certaines attaques comme celles du type "man-in-the-middle" où le pirate intercepte le flux de données en se positionnant entre les deux interlocuteurs d'un appel, si l'on prend cet exemple.

L'administrateur du tenant Microsoft 365 doit activer le chiffrement bout en bout dans les options du Centre d'administration de Teams, mais il se peut que l'option ne soit pas encore visible. En effet, il faut un peu de temps avant que se soit déployé auprès de tous les clients Microsoft. Une fois que l'option est activée, cela permet aux utilisateurs d'activer le chiffrement bout en bout dans les appels, mais ce n'est pas automatique : il faut aller dans les paramètres du client Teams.

Pour le moment, le chiffrement de bout en bout s'applique uniquement aux appels entre deux personnes et il y a quelques limitations, c'est-à-dire que certaines fonctionnalités ne sont pas encore prises en charge. Par exemple : l'enregistrement, le transfert d'un appel, la transcription en temps réel, etc. Plus d'infos sur cette page.

Cette fonctionnalité est disponible pour les clients Desktop Windows et macOS, ainsi qu'avec les applications mobiles pour iOS et Android. Les deux personnes doivent utiliser la toute dernière version disponible pour que le chiffrement bout en bout puisse s'activer lors d'un appel.

Source

The post Microsoft Teams : le chiffrement bout-en-bout disponible pour tous ! first appeared on IT-Connect.