Orange s'est associé à Dell pour réaliser des tests de débit sur la 5G, avec à la clé des résultats incroyables : la vitesse atteinte est 20 fois supérieure aux débits traditionnels du réseau 4G.

Pour réaliser les tests, Orange a utilisé un PC Dell Latitude 9510 qui est disponible depuis ce début d'année 2020 et qui est le premier PC "5G Ready" de chez Dell. Lors de ce test de connexion sur le réseau 5G, les vitesses de téléchargements ont dépassées les 900 Mb/s.

Liam Quinn, vice-président de Dell Technologies, précise : « La 5G ouvre une nouvelle frontière pour les entreprises et les consommateurs avec le PC toujours connecté ».

Dell se félicite de ces résultats et met en avant le fait que le réseau 5G permettra de réaliser des tâches beaucoup plus rapidement qu'avec la 4G, notamment pour télécharger de gros fichiers. Le réseau 5G ouvre de nouvelles possibilités et cela pourrait favoriser de nouvelles utilisations autour du traitement des images ou encore de la traduction en temps réel.

De manière générale, ce partenariat entre Orange et Dell existe depuis l'année dernière avec un accord signé en mail 2019. L'objectif étant de travailler conjointement sur des plateformes pour les services IoT ainsi que l'informatique en temps réel.

I. Présentation

Dans le précédent article, je vous présentais Windows Admin Center, désormais nous allons voir comment réaliser l'installation de ce nouvel outil de management de serveurs.

Microsoft publie une nouvelle version de son outil de temps en temps, pour améliorer à la fois l'expérience utilisateur mais également implémenter de nouvelles fonctionnalités. A l'heure où j'écris ces lignes, la dernière version est la 1910 sortie en avril 2019. Vous pouvez retrouver les nouveautés intégrées à cette version sur la page suivante : WAC 1910.

De manière générale, retrouvez l'historique des versions de Windows Admin Center sur la page suivante : WAC Changelog

II. Installer WAC

Pour commencer, il faut récupérer le package MSI nécessaire à l'installation de Windows Admin Center. Il est disponible gratuitement sur le centre d'évaluation Microsoft, je vous invite à le télécharger : Télécharger WAC

Note : l'utilisation de Windows Admin Center ne nécessite pas l'acquisition d'une licence. Cet outil est gratuit.

Lorsque le téléchargement sera terminé, démarrez l'installation sur votre serveur d'administration. Pour ma part, il se nomme "SRV-MGMT-01" sur le domaine "it-connect.local". Il est à noter que vous ne pouvez pas installer l'outil sur un contrôleur de domaine.

Pour la première étape, acceptez le contrat de licence. Ensuite, vous pouvez décider d'activer les mises à jour via Microsoft Update notamment pour WAC.

Pour faciliter la connexion aux machines distantes, acceptez le fait que WAC puisse modifier les paramètres d'hôtes de confiance (Trusted Hosts) dans la configuration de WinRM : "Allow Windows Admin Center to modify this machine's trusted hosts settings".

A l'étape suivante, je vous recommande de modifier le port pour ne pas utiliser celui par défaut, à savoir 443. Utilisez un port supérieur à 10 000 de préférence. Toujours sur la même étape, cochez l'option "Redirect HTTP port 80 traffic to HTTPS" pour que tous les accès à l'interface web s'effectue en HTTPS.

Lancez l'installation...

Cela n'est pas très long en principe, vous devriez arriver sur l'écran "Ready to connect from a PC" à la fin.

L'assistant affiche l'URL d'accès à WAC : "https://srv-mgmt-01.it-connect.local:14443" dans mon cas. Vous pouvez cliquer sur le lien directement.

Le navigateur va s'ouvrir et vous devrez vous authentifier. Avec un compte Administrateur du domaine ce sera parfait pour avoir les droits nécessaires à l'ajout de serveurs, etc.

Nous voilà sur l'interface de Windows Admin Center, l'installation est terminée. Pour la suite, il va falloir ajouter vos serveurs en tant que nouvelle connexions pour centraliser la gestion de votre infrastructure.

J'en profite pour vous parler de la compatibilité entre les navigateurs et Windows Admin Center. Microsoft propose une section dans son aide dédiée à ce sujet, puisque WAC est testé avec Edge et Chrome mais pas avec Firefox (la majorité des fonctions sont opérationnelles quand même). En fonction du navigateur et de sa version, certaines difficultés peuvent être rencontrées : WAC - Navigateurs.

De manière générale la page citée ci-dessus est très intéressante car elle recense les problèmes connus de Windows Admin Center.

III. Ajouter un serveur à WAC

Maintenant, nous allons voir comment ajouter un serveur à Windows Admin Center. Sur la page d'accueil, cliquez sur le bouton "Ajouter".

Un panneau latéral va s'afficher sur la droite. D'ailleurs, il arbore un nouveau design depuis la version 1910. Au niveau de Windows Server, cliquez sur "Ajouter".

Si votre serveur est dans le domaine, cliquez sur "Rechercher dans Active Directory", puis saisissez son nom et cliquez sur "Rechercher". Il doit apparaître dans les résultats, sélectionnez-le. Pour ma part il s'agit de mon contrôleur de domaine SRV-ADDS-01.

L'hôte sera ajouté à la console. Maintenant cliquez sur le nom de l'hôte.

Une connexion va être établie et il va falloir s'authentifier. Pour utiliser le compte Windows en cours d'utilisation, il faut créer une délégation Kerberos contrainte, sinon, spécifiez directement un compte utilisateur. C'est ce que nous allons faire.

Indiquez l'UPN de votre utilisateur et son mot de passe. Pour que ce compte devienne le compte par défaut lorsque vous établissez une connexion sur un serveur, cochez l'option "Utilisez ces informations d'identification pour toutes les connexions". Cliquez sur "Continuer".

Si l'authentification réussie, vous devriez voir l'état de votre serveur et vous pourrez alors commencer à le manager via Windows Admin Center. Sur la gauche, vous retrouvez l'accès aux différents outils, alors qu'au centre s'affiche la fenêtre correspondante à l'outil sélectionné.

L'outil "Bureau à distance" vous permettra d'ouvrir une session RDP sur votre serveur managé. Pour la partie authentification, vous devrez indiquer un nom d'utilisateur avec le nom Netbios du domaine : DOMAINE\Utilisateur, par exemple : IT-CONNECT\Administrateur. Sinon, je ne sais pas pourquoi mais l'authentification échoue avec l'UPN.

Vous pouvez ajouter vos autres serveurs, ainsi que des postes de travail si vous le souhaitez (cela nécessite de configurer WinRM) et explorer les différents outils à votre disposition. Ce qui intéressant pour les serveurs c'est d'ajouter les extensions, par exemple Dell OpenManage si vous avez un serveur Dell pour obtenir des informations supplémentaires.

I. Présentation

Dans la suite des tutoriels sur le scan de port, nous allons aujourd'hui étudier l'intérêt, le fonctionnement, mais aussi les limites du scan de port via le protocole de transport UDP, aussi appelé "protocole sans connexion".

II. UDP, dit protocole « connection-less »

Contrairement au protocole TCP (Transmission Control Protocol), le protocole UDP (User Datagramme Protocol) est un protocole dit "connection-less" ou "sans connexion" et cela pose une difficulté supplémentaire dans la détection et le scan de port. Le fait qu'un protocole de transport soit sans connexion implique en effet que les paquets ne sont pas sûrs d'arriver à destination et que nous ne soyons pas averties de leur arrivée. Cela peut alors fausser le scan. Pour plus d'information, le protocole UDP est décrit dans le RFC 768, "  User Datagram Protocol"

De plus, nous avons vu dans nos précédents billets sur les scans de port TCP que les réponses à nos paquets aidaient fortement à déterminer l'état des ports scannés, or en UDP, aucun retour n'est fait.

Fonctionnement d'un scan de port UDP

Du fait de la simplicité des échanges entre les machines utilisant le protocole de transport UDP, le scan des ports UDP n'est pas complexe à mettre en œuvre. En effet, il n'est possible de déterminer que deux états d'un port. Soit il est filtré ou ouvert, soit il est fermé. Dans le cas où le port est ouvert, aucun retour ne sera fait à notre machine de scan par le serveur ciblé. En effet, c'est le comportement normal des machines communiquant via UDP de ne pas renvoyer de paquet de bonne réception (ACK  ou "acknowledgement"). À l'inverse, si aucune application n'est prête à recevoir notre paquet sur le port UDP visé, alors c'est un paquet ICMP qui nous est renvoyé avec le code d'erreur correspondant, soit le message "ICMP_Port_Unreach_Error". En ayant une différence entre la réaction d'un port ouvert et celle d'un port fermé, nous pouvons effectuer un scan de l'ensemble des ports UDP :

Il est important de savoir qu'un scan UDP n'est pas capable de détecter la présence d'un pare-feu ou d'un système de filtrage entre la machine de scan et la cible scannée, ce qui peut fausser les résultats obtenus. En effet, un pare-feu entre les deux machines aura pour effet qu'aucun paquet ne soit renvoyé à la machine émettant le scan que le port soit ouvert ou non. Cela est gênant car quand le port UDP visé est ouvert, aucun paquet ne nous est renvoyé non plus. Ainsi quand un port apparait ouvert, il se peut qu'il soit en réalité filtré, et inversement.

Sur l’outil nmap, c'est l'option "-sU" (scan UDP) qu'il faut utiliser pour effectuer un scan de port UDP :

nmap -sU 192.168.1.17

Pour que l'article soit plus parlant et plus clair, j'ai effectué un scan UDP sur deux ports d'une machine cible, l'un des ports était ouvert, l'autre fermé. J'ai également effectué une écoute au niveau du réseau pendant ces deux scans pour observer les différences de comportement étudiées plus haut. Voici par exemple la vue sur nmap lors du scan d'un port ouvert ou filtré :

Nous voyons donc qu'nmap nous informe que le port visé "991" peut être ou ouvert, ou filtré. On peut alors essayer d'investiguer plus en profondeur sur le port en question. Sur le réseau, voici ce que l'on peut observer :

On voit donc que les deux paquets UDP envoyés sur le port donné "991" sont sans réponse de l'hôte distant. Nmap choisit d'envoyer deux paquets de par le risque qu'UDP représente. En effet, si un paquet est perdu, on pourrait ne pas avoir de réponse et croire que le port est ouvert alors qu'il n'a jamais atteint la cible, c'est pourquoi deux paquets sont envoyés.

À l'inverse, lors du scan nmap d'un port fermé, voici ce que l'on pourra avoir comme retour :

Nous voyons donc que le port est clairement identifié comme fermé ("closed"). Sur le réseau, voici ce que l'on pourra voir lors d'une écoute réseau :

Nous voyons donc clairement après notre paquet UDP envoyé sur le port "990" qu'une réponse de l'hôte scanné nous est faite. Il s'agit donc du paquet ICMP comportant le message "Port unreachable". Nous voyons bien que le port est ici fermé.

Les logiciels et outils de scan UDP utilisent tous ce fonctionnement. En réceptionnant tous les paquets ICMP, ils dressent une liste des paquets fermés et savent donc que tous les autres paquets sur lesquels ont été envoyés des paquets UDP sont, soient filtrés par un pare-feu, soit ouverts. Libre ensuite à vous d'investiguer plus en profondeur sur chacun d'eux pour savoir ce qui se cache derrière ces ports.

III. Les limites du scan de port UDP

Le scan via le protocole de transport UDP est aussi important que le scan TCP de par les informations qu'il peut procurer à un attaquant, il trahira bien souvent la présence d'un service pouvant être utilisé et exploité. Cependant, il comporte quelques limites qu'il est important de connaitre :

• Le fait que le protocole n'ait pas de système de validation de bonne réception entre les hôtes fait naitre le risque que les paquets perdus faussent les résultats du scan. En effet, la non-réponse d'un hôte à la stimulation d'un port pourra nous faire penser qu'il s'agit d'un port potentiellement ouvert alors que le paquet UDP n'est tout simplement pas arrivé à sa destination, c'est pour cela que certains outils comme nmap envoient deux paquets UDP.
• Le scan UDP est généralement plus lent que les scans TCP. En effet, il s'agit d'un protocole qui utilise généralement moins de ressources réseau que le protocole TCP et qui est également moins utilisé en terme de volume de paquet. La taille des mémoires tampons (tampons stockant les paquets réseau en attente de leurs traitements par le système) est plus petite que ceux pour les paquets TCP. Cela conduit donc  à des  lenteurs supplémentaires lors du scan.
• Lors d'un scan UDP, vous remarquerez que les paquets sont formatés en fonction du port ciblé. Voici par exemple le cas d'un scan UDP fait sur le port 53 qui correspond au port DNS généralement utilisé par les clients lors de leurs requêtes :

On voit donc que le paquet UDP envoyé pour sonder le port 53 comporte automatiquement une requête DNS sur le statut du serveur. Ainsi, un serveur standard mis sur un port autre que celui habituel (ou inversement) pourra fausser le résultat du scan.

Enfin, il existe une parade efficace contre les scans UDP que nous allons étudier dans le point suivant et qui constitue une limite forte aux scans UDP faits dans certains contextes.

IV. Protection contre le scan de port UDP

Après avoir  expliqué la façon par laquelle les attaquants pouvaient détecter des services actifs via UDP sur les systèmes, il convient maintenant de proposer des pistes de protection et de prévention contre ces scans qui, même s'ils paraissent anodins, peuvent conduire à la détection de services vulnérables et sensibles. Il existe en effet quelques astuces pour  détecter des scans de ports et pour les bloquer :

• La mise en place de services de détection d'intrusion ou de prévention d'intrusion, appelés plus communément IDS ou IPS, permet en effet de détecter des scans UDP. En recevant le trafic réseau en temps réel, il peut être simple de détecter que des centaines de paquets UDP sont envoyés sur une même IP en peu de temps et ainsi lever une alerte à ce sujet. Cela peut néanmoins être contourné lorsque l'attaquant met plusieurs jours à effectuer son scan en espaçant les envois de paquet UDP pour passer sous les radars IPS/IDS. Un attaquant peut également viser uniquement quelques ports stratégiquement choisis et connus comme étant des ports souvent ouverts et sensibles (DNS & SNMP par exemple).
• Une autre protection souvent mise en avant contre les scans UDP est la mise en place d'un filtrage du trafic réseau interdisant les paquets ICMP de types "ICMP_Port_Unreachable_Error" de sortir. Cela empêchera l'attaquant de recevoir les paquets indiquant qu'un port est fermé, faussant ainsi les résultats de son scan qui affichera tous les ports comme soit ouverts, soit filtrés. Cela implique bien sûr que la machine scannée ait un système de filtrage intégré tel qu'iptables ou alors un système de filtrage de type routeur, mais il faut pour cela que le scan s'effectue au travers ce routeur et non pas à l'intérieur même du réseau local de la machine visée.

Autres articles sur le sujet :

• Scan de port via TCP : SYN, Connect et FIN
• Scan de port via TCP : XMAS, Null et ACK

I. Présentation

L'outil Active Directory Topology Diagrammer est proposé par Microsoft depuis 2011, et bien qu'il soit vieillissant, il peut encore rendre quelques services. Il reste compatible aujourd'hui avec les versions récentes de Windows Server malgré son grand âge.

Ce logiciel s'appuie sur Microsoft Visio pour générer un diagramme de votre infrastructure Active Directory en se connectant en LDAP à votre annuaire. Ce diagramme pourra inclure plus ou moins d'éléments en fonction des options cochées, à savoir les différentes domaines, les sites, les unités d'organisation, les informations sur DFS-R, etc.

Ce diagramme est généré au format Visio donc il est possible de l'éditer ensuite, ce qui est plutôt intéressant.

Cet outil s'avère intéressant en phase d'audit mais aussi pour réaliser un minimum de documentation sur son infrastructure.

Vous pouvez le récupérer sur cette page : ADTD

Pour fonctionner, l'outil requiert que le .NET Framework 2.0 et Visio (2003 minimum) soient installés sur l'hôte où il va être utilisé.

II. Configuration de Visio

Compte-tenu de l'ancienneté du logiciel, il crée un fichier Visio dans une ancienne version. Si vous utilisez une version récente de Vision, il faut le configurer pour autoriser ces fichiers.

Ouvrez Visio et accédez au "Centre de gestion de la confidentialité" via les options. Ensuite, cliquez sur "Paramètres de blocage des fichiers".

Concernant les deux premières lignes, décochez les cases qui le sont, afin de permettre l'utilisation des fichiers VSD. Comme ceci :

Validez, et nous allons pouvoir passer à l'utilisation de l'outil ADTD.

III. Utiliser l'outil ADTD

L'outil est relativement simple à utiliser, il faut commencer par indiquer le nom d'un contrôleur de domaine (catalogue global) ou le nom DNS du domaine au niveau du champ "Server/Domain" dans le haut de l'interface.

Ensuite, il y a différents onglets où vous pouvez cocher/décocher des options pour ajouter/supprimer des informations à intégrer aux schémas.

Il est notamment possible d'afficher :

• Les relations d'approbations [Domains]
• Le nombre d'utilisateurs par domaine [Domains]
• L'architectures des unités d'organisation pour chaque domaine (avec un nombre de niveaux spécifique) [OUs]
• Lister les GPOs [OUs]
• Dessiner les sites avec les informations comme les subnets [Sites]
• Dessiner l'organisation Exchange on-premise avec le nombre de mailbox et les connecteurs [Exchange]
• Réplication DFS-R [DFS-R]
• Afficher les serveurs avec la version et le nom FQDN [Servers]

Lorsque vous êtes prêt, cliquez sur le bouton "Discover!", patientez... puis appuyez sur le bouton "Draw" quand le bouton devient disponible ! 😉

Le schéma généré va alors afficher vos différentes sites et domaines, avec les contrôleurs de domaine associés et des informations complémentaires en fonction des options choisies. En fonction des options choisies, il sera éclaté en plusieurs schémas pour faciliter la lecture, en fait il y aura un schéma VSD par onglet : n'hésitez pas à faire des tests. Désolé pour le flou sur l'exemple ci-dessous, mais les informations sont confidentielles.

A vous de jouer !

Bonjour à tous ! 😊 - N'ayant pas eu le temps de finaliser cette édition pour ce week-end, je la publie un peu en retard mais l'essentiel c'est qu'elle soit en ligne !

L'occasion également de vous en dire un peu plus sur les tutoriels à venir cette semaine, nous parlerons une nouvelle fois de Windows Admin Center, ainsi que des scans de ports, du logiciel ADTD et nous parlerons également Windows Update en fin de semaine. Restez connectés pour suivre tout cela de près... 😃

En attendant, voici quelques lectures intéressantes.

✅ - OpenSSH x FIDO

Suite à la sortie de la version 8.2 d'OpenSSH, il est désormais possible d’utiliser l’authentification multi-facteurs FIDO U2F. Une bonne nouvelle pour renforcer la sécurité de ses accès distants. Lien

✅ - Microsoft Spaces

Microsoft serait en cours de développement d’une nouvel outil qui pourrait s’intégrer à Outlook, baptisé Spaces. L’objectif serait de regrouper dans un espace unifié vos rendez-vous, vos notes, vos documents et vos tâches. Lien

✅ - Raspbian reçoit une mise à jour majeure

Raspbian, la déclinaison de Debian à destination du Raspberry Pi, vient de recevoir une mise à jour majeure. Les modification se situent au niveau de l’explorateur de fichiers, et des options d’accessibilité et d’affichage. Lien

✅ - Cert

Ce n’est pas une nouveauté mais plutôt une piqûre de rappel : le site cert.ssi.gouv.fr reste une source d’information importante pour s’informer sur les dernières vulnérabilités découvertes. Récemment, il y a eu des remontées pour Fortinet, Juniper, Palo Alto ou encore PostgreSQL. Lien

✅ - Windows Terminal

Pour les personnes qui s’intéressent à l’application Windows  Terminal, sachez que Microsoft a publié la version 0.9 de son outil. Il s’agit de la dernière version Preview, la prochaine sera la version stable 1.0. Lien

✅ - Le VPN de Mozilla

Pour renflouer ses caisses, Mozilla va proposer un logiciel VPN indépendant de son navigateur avec un abonnement à 5 dollars par mois. La version bêta est disponible, pour Android et Windows. Lien

✅ - Larry Tesler

L'inventeur de la très célèbre et incontournable commande "copier-coller", Lawrence « Larry » Tesler, et ancien de chez Apple, Amazon et Yahoo! est décédé lundi dernier à l'âge de 74 ans. Lien

✅ - Samsung et le traçage du mobile

Courant de semaine dernière, les utilisateurs de smartphone Samsung ont reçu une notification étonnante nommée "Traçage du mobile" et avec comme contenu deux fois le chiffre 1. Personnellement, je l'ai reçu sur mon smartphone, c'était assez surprenant et inattendu d'autant plus qu'il s'agit d'une fonctionnalité de géolocalisation. Lisez l'article pour en savoir plus. Lien

Bon début de semaine !