La quatrième et dernière version de Kali Linux pour l'année 2023, à savoir Kali Linux 2023.4, est disponible pour tout le monde ! Faisons le point sur les nouveautés !
Pour cette dernière version de l'année 2023, les développeurs n'ont pas apporté de modifications au core de Kali Linux. Toutefois, Kali Linux est désormais livré avec l'environnement de bureau GNOME 45, disponible depuis septembre 2023. Comme à chaque fois, nous avons également le droit à un ensemble de nouveaux outils : il y en a 15 en plus dans Kali Linux 2023.4.
Source : kali.org
Par équipe l'Offensive Security a également créé de nouvelles versions de Kali Linux pour Amazon AWS et Microsoft Azure. Sur la marketplace de ces deux Cloud, Kali Linux AMD64 et ARM64 sont disponibles, ce qui vous permet de déployer facilement Kali Linux sur le Cloud. Il y a également une nouvelle image de Kali Linux pour le Raspberry Pi 5. Par ailleurs, les développeurs ont également ajouté le support pour le déploiement de Kali Linux sur Hyper-V en utilisant Vagrant.
Les nouveaux outils de Kali Linux 2023.4
Voici la liste des 15 outils ajoutés à Kali Linux 2023.4 :
Dans un nouvel article, Microsoft est revenu en détail sur la fin du support à venir de Windows 10 et sur les différentes options offertes aux utilisateurs pour continuer à profiter des mises à jour de sécurité. Voici ce qu'il faut savoir !
Windows 10 22H2 est la version actuelle de Windows 10 et c'est également la dernière : ce qui ne l'empêche pas d'évoluer puisque Microsoft est en train de déployer l'assistant IA Microsoft Copilot sur cette version de Windows 10. Nous savons que son support prendra fin le 14 octobre 2025, et cela ne changera pas. D'ici là, nous allons bénéficier des mises à jour mensuelles, avec notamment les correctifs de sécurité via les habituels Patch Tuesday.
Mais, après le 14 octobre 2025, que va-t-il se passer ?
"Lorsque Windows 10 atteindra la fin de son support, Microsoft ne fournira plus de correctifs pour les problèmes, de correctifs, de sécurité pour les vulnérabilités, de mises à jour du fuseau horaire ou de support technique pour les problèmes qui pourraient survenir.", précise Microsoft.
Il y a tout de même des exceptions : les éditions LTSC de Windows, ainsi que celles pour l'IoT, qui sont généralement utilisées sur les appareils médicaux ou industriels. Par exemple, le support de Windows 10 Enterprise LTSC 2019 prendra fin le 9 janvier 2029. Toutes les dates sont fournies sur cette page.
Bien entendu, l'objectif de Microsoft c'est que vous laissiez tomber Windows 10 pour passer sur Windows 11...
Le programme Extended Security Updates (ESU) sera disponible pour tout le monde !
Pour les utilisateurs qui ne peuvent pas ou ne veulent pas passer sur Windows 11, il y a une solution pour rester sur Windows 10 tout en bénéficiant des mises à jour de sécurité : le programme Extended Security Updates (ESU). L'objectif de ce programme est bien de fournir uniquement des correctifs de sécurité.
Habituellement réservé aux professionnels, le programme ESU pour Windows 10 sera disponible pour tout le monde ! Cela signifie que même les particuliers pourront en bénéficier, mais il faudra payer ! Pour le moment, Microsoft n'a pas indiqué le prix : "Les prix définitifs et les conditions d'inscription seront communiqués à l'approche de la date de fin de support fixée à octobre 2025, soit environ un an avant la fin du support de Windows 10.", peut-on lire sur le site de l'entreprise américaine.
Dans tous les cas, le programme ESU se présente sous la forme d'un abonnement annuel qu'il est possible de renouveler pour 3 ans maximum.
L'alternative Windows 365
Windows 365, c'est l'offre de PC dans le Cloud de Microsoft. Si vous utilisez cette solution pour accéder à un PC Cloud sous Windows 11, Microsoft est prêt à vous offrir 3 ans d'ESU sur votre PC physique qui lui est sous Windows 10 : "Les abonnements à Windows 365 incluront des mises à jour de sécurité étendues (ESU) sans frais supplémentaires pour les appareils Windows 10 qui accèdent à Windows 365.", peut-on lire sur le site de Microsoft.
Par ailleurs, Microsoft proposera également l'accès au programme ESU sans frais supplémentaires pour les instances Windows 10 hébergées dans Azure Virtual Desktop (consommation exclue, bien entendu).
Les utilisateurs de Windows 10 (et Windows 11) sont affectés par un bug plutôt étonnant : l'application HP Smart s'installe toute seule et toutes les imprimantes de la machine sont renommées en HP LaserJet M101-M106. Que se passe-t-il ? Voici ce que l'on sait !
Commençons par une précision importante : il s'agit d'un bug connu chez Microsoft. Autrement dit, bien que ce qu'il se passe soit étonnant et suspect, ce n'est pas un signe de compromission de l'ordinateur, comme certains utilisateurs pourraient le penser. Il y a un échange entre utilisateurs sur cette page du forum Microsoft.
Depuis plusieurs jours, des utilisateurs ont constaté que l'application HP Smart est présente sur leur machine alors qu'ils n'ont pas d'imprimante HP à la maison ou au bureau, et qu'ils n'ont jamais installé cette application. Par ailleurs, et en complément de la présence de cette application, toutes les imprimantes sont renommées en "HP LaserJet M101-M106", que ce soit des imprimantes HP ou d'autres marques ! A cela s'ajoute un troisième problème : lors d'un double-clic sur une imprimante, le message d'erreur "Aucune tâche n'est disponible pour cette page" s'affiche.
Microsoft affirme sur son site que ce problème se produit uniquement sur les machines qui ont un accès au Microsoft Store (et à Internet) : "Certains problèmes liés à la configuration des imprimantes sont observés sur les appareils Windows qui ont accès au Microsoft Store. Microsoft enquête sur ce problème et coordonne une solution avec ses partenaires." - D'après Microsoft, ce bug n'empêche pas d'imprimer des documents.
Pour le moment, l'entreprise américaine cherche une solution et surtout elle cherche à identifier l'origine du problème : "Nos investigations indiquent que ce problème n'est pas dû à une mise à jour de HP.", précise l'éditeur sur son site. Pour le moment, il n'y a aucune solution temporaire disponible.
Quels sont les systèmes d'exploitation affectés par ce bug ?
La liste des systèmes d'exploitation affectée par ce bug est longue, très longue même :
Windows 10 version 1809, et supérieur
Windows 11 version 21H2, et supérieur
Windows Server 2012 et supérieur, donc jusqu'à Windows Server 2022
Dans cet article, nous allons voir comment la solution SD Network (SDN) "TP-Link Omada" peut aider les entreprises à industrialiser le déploiement des équipements réseau. Cette solution s'adapte à des scénarios divers et variés : infrastructure monosite, infrastructure multisites, mais également plusieurs infrastructures de plusieurs clients (multitenants (organisations) / multisites).
Cet article aborde également les fonctionnalités orientées "sécurité" de la solution TP-Link Omada, notamment la protection contre les menaces, la détection et la prévention d'intrusions (IDS/IPS) le blocage des applications avec le Deep Packet Inspection et le déploiement d'un VPN avec WireGuard. Un programme chargé, car nous avons beaucoup de fonctionnalités à découvrir !
Sachez que toutes les fonctionnalités évoquées dans cet article s'ajoutent à celles déjà présentées dans mon premier article (et ma première vidéo) sur TP-Link Omada.
II. Industrialiser le déploiement des équipements réseau
Dans cette partie de l'article, nous allons voir comment industrialiser le déploiement des équipements réseau en entreprise, en utilisant notre propre contrôleur TP-Link Omada déployé dans une machine virtuelle. Que ce soit pour un seul réseau, ou plusieurs réseaux correspondants à plusieurs clients, sachez que vous pouvez déployer votre propre contrôleur et en avoir la maitrise complète.
Ce contrôleur Omada servira à administrer l'ensemble du réseau, notamment les équipements réseau déployés sur site, que ce soit des routeurs, des switchs ou des points d'accès Wi-Fi. Un seul contrôleur Omada peut prendre en charge 10 000 appareils : c'est confortable.
Ensuite, nous aurons comme objectif de déployer sur le réseau (celui d'un client, par exemple), un routeur, un ou des switchs et des bornes Wi-Fi, sans aller sur site. Ce qui signifie que le routeur sera préparé en atelier, tandis que les bornes Wi-Fi seront envoyées dans leur configuration d'origine. Cette configuration nous permettrait de déployer autant d'équipements Omada que l'on souhaite, de façon "automatique" c'est-à-dire sans effectuer la configuration de chaque équipement, en mode déploiement zero touch. Par ailleurs, ce schéma est reproductible chez d'autres clients.
Note : Omada intègre un système de tenants (organisations) pour cloisonner les environnements des clients les uns des autres.
A. Le contrôleur TP-Link Omada dans le Cloud
Pour cette démonstration, nous allons déployer un contrôleur TP-Link Omada sur une machine virtuelle hébergée dans Azure. Autrement dit, nous aurons notre propre contrôleur Omada hébergé dans le Cloud. Nous pourrons l'utiliser pour X sites et Y clients, dans la limite des ressources de la VM. Nous pourrions utiliser un VPS, un serveur dédié dans le Cloud, voire même s'appuyer sur un Cloud privé ou une infrastructure on-premise, selon les besoins.
Même s'il y a un coût associé à l'exécution de la machine virtuelle Azure, vous devez retenir une chose importante : le logiciel TP-Link Omada est entièrement gratuit : 0 licence pour le contrôleur en lui-même, 0 licence pour les périphériques réseau et 0 licence pour les mises à jour logicielles.
En ce qui concerne le dimensionnement du serveur amené à héberger le contrôleur, voici les informations fournies par TP-Link :
Préparation de la machine virtuelle
La première étape consiste à déployer le système d'exploitation Windows Server pour installer le contrôleur Omada. Bien qu'ici ce soit une machine sous Windows Server, sachez qu'il existe également une version Linux. Il conviendra également de configurer le serveur, de faire les mises à jour, etc.
Du côté du Cloud, nous devons de configurer le NSG de la machine virtuelle pour autoriser les flux suivants :
Flux entrants : UDP sur le port 29810
Flux entrants : TCP sur les ports 29811 à 29814
Pour restreindre l'accès à notre contrôleur, l'adresse IP publique du site où seront déployés les équipements réseau sera ajoutée aux deux règles. À chaque nouveau client à déployer, il suffira d'ajouter son adresse IP publique à la liste des adresses IP autorisées. Ceci est facultatif.
Dans le même esprit, nous allons créer deux règles de pare-feu Windows Server pour autoriser les mêmes flux.
Installation du contrôleur TP-Link Omada
L'installeur Omada Controller est disponible en libre accès sur le site de TP-Link. Une fois en notre possession, nous devons l'exécuter sur le serveur afin de procéder à son installation : c'est ultra-simple, car quelques clics suffisent.
Avant de pouvoir installer le contrôleur, nous devons installer Java 8 sur le serveur.
Ensuite, il suffira de dérouler l'assistant.
Une fois l'installation terminée, le contrôleur Omada sera initialisé sur le serveur et nous pourrons commencer la configuration avec un navigateur web.
Initialisation du contrôleur Omada
Un assistant nous accompagne tout au long de la mise en route du contrôleur Omada. L'interface Omada est disponible en plusieurs langues dont le français et l'anglais.
La première étape consiste à définir un compte pour le compte Administrateur, ainsi qu'un mot de passe. L'option "Accès au nuage" est facultative : si elle est activée, ceci permet d'activer l'accès distant au contrôleur via l'infrastructure Cloud de TP-Link qui fait alors office de relais.
Ensuite, plusieurs étapes s'enchaînent et elles vont permettre d'effectuer les étapes suivantes :
Nommer le contrôleur Omada, choisir un pays et définir un fuseau horaire
Créer un premier site (ce qui permettra de lui associer des équipements), définir le nom d'utilisateur et le mot de passe du compte admin qui devra être poussé sur les périphériques de ce site et sélectionner un scénario de déploiement (pour qu'Omada guide l'utilisateur en fonction de ce choix)
Configurer les appareils détectés, mais actuellement nous n'en avons pas sur notre contrôleur Cloud
Configurer une préconfiguration pour les paramètres de l'interface WAN des routeurs (facultatif)
Créer un premier réseau WiFi
Voici un aperçu de certaines étapes :
Une fois l'initialisation terminée, nous n'avons plus qu'à nous connecter au contrôleur Omada :
Bienvenue sur le contrôleur Omada ! Pour nous accueillir comme il se doit, un assistant s'exécute automatiquement pour nous présenter l'interface et son fonctionnement général.
Voilà, le contrôleur Omada est prêt ! La prochaine étape ? Ajouter notre premier routeur !
B. Préparation du routeur
Nous sommes au bureau, et nous allons préparer le routeur avant de l'envoyer chez un client. Pourquoi faut-il le préparer ? Ce routeur doit être préparé pour que l'interface WAN soit correctement configurée selon les prérequis du réseau opérateur. Par exemple, ici, nous devons définir un VLAN ID à 100. Nous en profiterons aussi pour définir l'adresse IP du contrôleur Omada dans les paramètres du routeur pour qu'il vienne s'inscrire automatiquement. Pour tous les autres équipements, le DHCP sera notre allié.
Si l'on prend l'exemple du routeur TP-Link ER7206 utilisé dans cette configuration, l'interface WAN se configurer à partir du "Network".
Ensuite, nous devons déclarer l'adresse IP du contrôleur via le menu "System Tools" puis "Controller Settings". Ici, nous allons activer l'option "Cloud-based Controller Management" et indiquer l'adresse IP (ou le nom DNS) du contrôleur Omada. Voici un exemple :
Quelques secondes plus tard, le routeur apparaît sur l'interface du contrôleur Omada : il est en attente d'adoption, ou d'enrollment si vous préférez. Nous allons l'adopter pour qu'il soit géré par notre contrôleur Omada.
Au moment de faire l'enrollment du routeur, nous devons l'affecter à un site. Ceci permettra de l'attribuer au bon site en fonction de son emplacement physique.
La phase de provisionnement signifie que l'appareil va passer en mode "gestion" : il sera administrable à distance via le contrôleur Omada. S'il y a des paramètres de configuration à appliquer, il va les appliquer également.
Le routeur est prêt. Nous pouvons l'envoyer chez notre client pour qu'il soit connecté au réseau.
Quelques jours plus tard, le routeur est connecté au réseau du client. Il est bien visible dans l'interface Omada.
C. La magie de l'option 138 du DHCP
Maintenant, nous devons faire en sorte que tous les autres équipements Omada connectés au réseau remontent automatiquement sur notre contrôleur. Pour cela, nous allons utiliser une option DHCP ! En effet, l'option n°138 prise en charge par le protocole DHCP sert à déclarer l'adresse IP d'un contrôleur, elle va donc nous être utile pour déclarer l'adresse IP de notre contrôleur Omada.
Dans cet exemple, nous allons configurer le serveur DHCP du routeur Omada pour qu'il distribue cette option avec la bonne valeur. S'il y aurait déjà un serveur DHCP en place, sur Windows Server par exemple, prenant en charge l'option 138 DHCP, nous pourrions l'utiliser.
La configuration de cette option s'effectue à partir de l'interface Omada. Voici comment effectuer cette configuration :
1 - Accédez à la section des paramètres
2 - Cliquez sur "Réseaux filaires"
3 - Cliquez sur "LAN"
4 - Editez l'interface "LAN" (un bouton est disponible tout à droite)
Ensuite, vous n'avez plus qu'à descendre dans la page afin de cliquer sur "Options DHCP avancées". Ici, il y a l'option DHCP 138 : il suffit d'indiquer l'adresse IP du contrôleur Omada. Voici un exemple :
Sauvegardez... La nouvelle configuration va être déployée sur le routeur.
Grâce à cette configuration, les points d'accès Wi-Fi Omada connectés au réseau vont remonter tout seuls comme des grands sur le contrôleur Omada. Ainsi, il ne restera plus qu'à faire l'adoption et l'association à un site. Ensuite, le point d'accès Wi-Fi va récupérer sa configuration, notamment le SSID Wi-Fi à diffuser.
Voilà, sur ce site, nous pouvons déployer très facilement de nouveaux équipements réseau !
D. Le mode MSP
Le contrôleur Omada dispose d'un mode MSP (Manage Service Provider) qui va nous permettre de créer et gérer plusieurs tenants (organisation) et dans chaque tenant plusieurs clients (ou sites) sur un même contrôleur. En tant que prestataire de services ou opérateur, vous pouvez avoir un contrôleur Omada unique qui sera mutualisé entre plusieurs clients. Bien entendu, chaque tenant (organisation) et chaque client sont cloisonnés dans des environnements différents.
Pour chaque tenant (organisation), vous pouvez créer une multitude de sites, et là encore, nous pouvons déléguer les droits par site. Chaque site aura un ou plusieurs équipements réseau.
Au quotidien, vous pouvez effectuer l'administration de l'ensemble des réseaux de vos clients grâce à une interface unique, simplement en choisissant le client dans la liste.
Grâce au système de tenants et au contrôle d'accès basés sur les rôles (RBAC), vous pouvez créer des comptes utilisateurs pour déléguer l'accès à un utilisateur afin qu'il puisse gérer ses équipements. Ainsi, chaque client pourra administrer ses équipements, ou simplement lire les informations, en fonction des autorisations qui lui sont attribuées.
E. Les modèles de configuration de site
Pour aller encore plus loin dans l'industrialisation de vos déploiements réseau, vous pouvez utiliser la fonctionnalité d'importation de sites.
Ceci vous permet de déployer un site à partir d'un profil de configuration existant, qui se présente comme un modèle (ou une configuration master, si vous préférez). Ainsi, vous pouvez vous créer une collection de configuration : une configuration pour les hôtels, une configuration pour les EHPAD, une configuration pour les PME, etc... En fonction de votre typologie client. Ce sera un gain de temps et d'efficacité supplémentaire au moment de devoir déployer un nouveau site ! De plus, ceci vous permet d'homogénéiser vos configurations.
F. Intégration avec des applications tierces - Open API
Omada intègre Open API, c'est-à-dire une API ouverte (et bien documentée) qui va permettre de créer des interactions entre Omada et des applications tierces. Autrement dit, ceci permettrait d'interagir avec Omada sans utiliser l'interface d'Omada, mais l'interface d'une autre application. Par exemple, ceci pourrait être un espace client sur le site Internet de votre entreprise qui sert à remonter des informations sur l'état de vos périphériques, de votre connexion Internet, etc...
Finalement, grâce à l'ensemble des fonctionnalités évoquées dans cette grande partie de l'article, vous en savez plus sur le déploiement d'un réseau en mode zero touch grâce à la solution TP-Link Omada.
III. Les fonctionnalités de sécurité de TP-Link Omada
Dans cette seconde grande partie de l'article, nous allons évoquer les fonctionnalités de sécurité de TP-Link Omada.
A. Filtrage des flux
Omada intègre plusieurs fonctionnalités pour nous permettre de filtrer les flux, avec notamment la mise en place d'ACL au niveau du routeur, des switchs ou des points d'accès Wi-Fi. À cela s'ajoutent deux autres fonctionnalités : le filtrage par adresse MAC et le filtrage d'URL. D'ailleurs, le filtrage d'URL est une fonctionnalité très intéressante, mais trop limitée pour le moment : il n'y a pas de filtrage par catégorie ou de listes noires prédéfinies. Toutefois, nous pouvons bloquer certains mots clés.
Dans l'exemple ci-dessous, nous préparons une ACL à destination de notre routeur pour bloquer tous les flux en provenance de certains pays tels que la Russie et la Chine. C'est un moyen d'éviter certaines tentatives d'attaques, même si c'est facilement contournable (avec un VPN afin d'avoir une adresse IP dans un autre pays, par exemple).
B. Filtrage avec la fonction DNS Proxy
La fonction "DNS Proxy" proposée par Omada va permettre de s'appuyer sur un DNS externe pour filtrer et sécuriser la connexion Internet. Ici, nous avons l'opportunité d'utiliser plusieurs types de proxy DNS, notamment via le protocole DoH (DNS-over-HTTPS) dont l'objectif est de protéger les flux DNS grâce à une connexion HTTPS (chiffrée).
Plusieurs fournisseurs sont pris en charge nativement, et nous pouvons utiliser un proxy DNS personnalisé. Dans cet exemple, nous utilisons l'adresse "https://family.cloudflare-dns.com/dns-query" qui permet de bénéficier d'une protection contre les menaces mais également du filtrage pour bloquer le contenu pour adulte (tous les sites pornographiques seront bloqués et "éliminés" des résultats de recherche).
Cette fonctionnalité se déploie en quelques clics et s'avère très intéressante pour protéger les utilisateurs lorsqu'ils naviguent sur Internet. Cette couche de sécurité vient s'ajouter à toutes les autres que nous allons découvrir dans cet article.
C. Bloquer les attaques DDoS
Omada intègre un ensemble de fonctionnalités pour détecter et bloquer les paquets malveillants, dont certains sont utilisées dans le cadre d'attaque DDoS / DoS (déni de service). Le "Ping of death" et l'ICMP Flood, sont des exemplee.
D. Détection et prévention des intrusions (IDS / IPS)
La passerelle Omada présente sur site peut également détecter et bloquer certaines attaques et menaces puisqu'il est possible d'activer la détection d'intrusion. Autrement dit, il y a des fonctions d'IDS et IPS disponibles.
La configuration de l'IDS/IPS est entièrement personnalisable. Nous pouvons activer ou désactiver certaines fonctionnalités de détection, mais également créer des règles pour gérer des exceptions. Par exemple, et c'est important de le préciser, Omada pourra vous aider à détecter et bloquer les virus et malwares via l'analyse des flux.
E. Deep Packet Inspection : bloquer des applications
La section "Application Control" de l'interface Omada cache la fonctionnalité Deep Packet Inspection (DPI) qui va nous permettre de réaliser du blocage d'applications et de services grâce à l'identification de plus de 2 100 signatures applicatives dans les flux réseau. Au même titre que les autres fonctionnalités de sécurité, celle-ci est également gratuite et sans coût supplémentaire (aucune licence, aucun abonnement).
Vous pourrez bloquer ou limiter les applications pour certains sous-réseaux, à certains moments de la journée ou de la semaine grâce à la création de règles basées sur des plages horaires.
La liste des applications est consultable dans l'onglet "Application List", et nous pouvons faire une recherche ou effectuer un filtre par catégorie. Nous retrouvons de nombreuses applications, parmi les plus populaires : Microsoft Teams, Zoom, Discord, Facebook, YouTube, BitTorrent, AnyDesk, TeamViewer, LogMeIn, Amazon Alexa, etc... C'est très varié.
Nous pouvons faire un essai en bloquant Discord et Facebook 24h/24 et 7J/7. Il est important de noter que la planification indique les périodes de restriction.
Après la création de la règle, celle-ci est déployée sur l'équipement Omada présent sur site. Quelques secondes plus tard, Facebook et Discord deviennent inaccessibles pour toutes les machines du réseau.
Au-delà de permettre le blocage et la restriction d'applications et services, le DPI va également générer des journaux. Ceci vous permettra d'identifier les applications les plus utilisées sur votre réseau. S'il s'agit d'une application indésirable et gourmande en bande passante, il ne vous restera plus qu'à créer une règle pour restreindre l'application (il y a également la possibilité d'associer de la QoS).
F. Serveur VPN : OpenVPN, WireGuard, etc.
La fonction "VPN" d'Omada est très complète puisque l'on peut utiliser un routeur en tant que client VPN, mais aussi, et surtout, en tant que serveur VPN. Lors de la mise en place d'un serveur VPN, nous avons le choix entre plusieurs protocoles : L2TP, PPTP, IPsec et OpenVPN. Ceci rend la fonction de serveur VPN adaptée à de nombreux scénarios et usage, car ce sont les protocoles les plus populaires.
Par ailleurs, nous avons la possibilité de déployer un VPN à l'aide de WireGuard ! Bien qu'elle soit relativement récente puisque sa première version stable date de mars 2020, sachez que WireGuard est une solution prometteuse et plus performante qu'OpenVPN et consort. En comparaison de solutions comme OpenVPN et IPSec, WireGuard se veut plus simple dans son fonctionnement.
WireGuard présente la particularité de fonctionner selon le modèle peer-to-peer et non "client-serveur", avec une authentification basée sur un échange de clés, sur le même principe que le protocole SSH avec les clés privées/publiques. Pour assurer la sécurité des communications, notamment le chiffrement, plusieurs algorithmes sont utilisés par WireGuard : chiffrement symétrique avec ChaCha20, authentification des messages avec Poly1305, ainsi que d'autres comme Curve25519, BLAKE2 et SipHash24.
Ainsi, le routeur TP-Link Omada jouera le rôle de peerlorsqu'il s'agit d'établir une connexion avec un autre peer (l'ordinateur portable d'un utilisateur nomade, par exemple).
D'ailleurs, nous allons voir comment configurer un VPN WireGuard sur Omada !
La première étape consiste à créer un nouveau tunnel VPN WireGuard via "VPN", "WireGuard" puis "Create New WireGuard". Ici, nous devons donner un nom à ce profil, par exemple le nom du site et indiquer l'adresse IP publique du routeur. La clé privée est générée automatiquement et nous n'aurons pas besoin de la communiquer. Éventuellement, nous pouvons utiliser un port personnalisé à la place du port 51820/UDP qui est le port par défaut.
Une fois que c'est fait, nous pouvons valider pour créer la configuration WireGuard. Il est à noter que la clé publique, que nous devrons déclarer sur les clients VPN, est bien précisée.
Pour la suite, nous devons basculer sur le poste de travail qui doit se connecter au VPN WireGuard. Après avoir installé l'application officielle, nous devons ajouter un nouveau tunnel vide que nous allons configurer nous-mêmes.
Après avoir donné un nom à ce tunnel, nous devons le configurer. Voici les options à renseigner :
Address = 10.0.0.1/24 : il s'agit de l'adresse IP de ce client dans le tunnel WireGuard (utilisez une adresse IP par client WireGuard)
DNS = 1.1.1.1 : le serveur DNS à utiliser sur l'interface WireGuard (surtout utile en mode full-tunnel)
[Peer] : ce bloc sert à déclarer le peer distant, en l'occurrence notre routeur Omada
PublicKey : la clé publique du routeur Omada, à récupérer depuis l'interface du contrôleur
AllowedIPs = 192.168.1.0/24 : les réseaux accessibles via ce VPN, ici le LAN du site distant. Nous pourrions limiter à certaines adresses IP, ou au contraire indiquer "0.0.0.0/0" pour que tous les flux du PC passent par le VPN WireGuard
Endpoint = <IP publique du routeur>:51820 : adresse IP publique du peer WireGuard, en l'occurrence ici notre routeur Omada
Une fois la configuration établie, copiez la clé publique car nous allons devoir la déclarer sur Omada et cliquez sur "Enregistrer".
Retour sur l'interface Omada... Afin de déclarer un nouveau peer via l'onglet "Peers" et le bouton "Create New Peer". Ici, nous devons donner un nom à ce peer, par exemple le nom de l'ordinateur, choisir une interface et déclarer deux informations très importantes :
Allow Address : l'adresse IP du peer dans le tunnel WireGuard, en reprenant la valeur indiquée côté PC client au niveau de l'option "Address = 10.0.0.1/24". Ceci implique que dans le sens "routeur vers PC", le tunnel permettra uniquement les communications avec le point de terminaison représenté par le PC.
Public Key : la clé publique de notre peer WireGuard
Validez quand c'est fait.
Tout est prêt ! Il ne reste plus qu'à tester !
Sur le poste de travail, nous allons activer le VPN WireGuard ! Il va rapidement passer sur l'état "Activée" et nous pourrons commencer à l'utiliser. Ainsi, les machines situées sur le réseau "192.168.1.0/24" deviennent joignable au travers de ce VPN.
Du côté d'Omada, nous pouvons suivre les connexions VPN à cet endroit : Insights > VPN Status > WireGuard VPN. Nous pouvons voir que le peer "PC-FBURNEL" est connecté et nous avons quelques statistiques sur la quantité de données transférées.
WireGuard fonctionne très bien avec la solution Omada de TP-Link ! C'est une bonne nouvelle puisque ce protocole est nettement plus performant qu'OpenVPN. Si l'on prend l'exemple du transfert de fichiers, il y a une différence énorme (de plusieurs dizaines Mo/s).
G. Serveur Radius
Omada, en l'occurrence ici, le routeur TP-Link ER7206, intègre un serveur Radius. Ceci signifie que vous pouvez utiliser ce serveur Radis dans plusieurs scénarios, notamment l'authentification 802.1X, mais également pour le déploiement d'un réseau Wi-Fi protégé par WPA3-Enterprise.
IV. Conclusion
La solution TP-Link Omada intègre toutes les fonctionnalités nécessaires pour assurer le déploiement, l'administration et la sécurisation des équipements réseau d'un ensemble de réseaux informatiques.
Grâce à votre propre plateforme Cloud et à la configuration des bonnes options, vous pouvez industrialiser le déploiement de routeurs, switchs et points d'accès Wi-Fi. Une fois les équipements déployés sur ce site, ils hériteront des paramètres de configuration et de sécurité définis sur Omada. D'ailleurs, vous avez pu découvrir ces différentes fonctionnalités visant à renforcer la sécurité de vos réseaux, que ce soit par l'intermédiaire du filtrage de paquets et des flux, mais aussi la restriction de certaines applications et services.
Pour approfondir le sujet, rendez-vous sur le site officiel de TP-Link :
Dans cet article, je vous présente un outil dont je me sers de façon quotidienne : arsenal. Il s'agit d'un outil open source proposé par Orange Cyberdéfense. Cet outil permet de sauvegarder et de retrouver très rapidement et facilement vos lignes de commandes favorites.
Pour ma part, je l'utilise pour retrouver mes commandes et outils lors de mes missions d'audit et de test d'intrusion. Mais il peut être utilisé par tout un tas de métiers utilisant quotidiennement un système Linux et qui ont des tonnes de commandes, outils et paramètres à retenir. Là où je devais auparavant aller chercher dans mes notes personnelles ou une documentation pour retrouver une commande et les options exactes à utiliser, j'utilise maintenant arsenal de la manière suivante :
Commençons par l'installation, arsenal peut être installé de plusieurs manières :
Installation depuis le Github :
git clone https://github.com/Orange-Cyberdefense/arsenal.git
cd arsenal
python3 -m pip install -r requirements.txt
./run
Pour aller plus vite, vous pouvez ajouter arsenal dans l'un des dossiers de votre PATH :
sudo ln -s /opt/arsenal/run /usr/bin/arsenal
Installation via python3-pip
python3 -m pip install arsenal-cli
Le binaire arsenal se trouvera alors dans ~/.local/bin, pensez bien à le rajouter dans votre PATH si ce n'est pas déjà fait.
Dans les deux cas, l'outil pourra être lancé depuis n'importe quel dossier avec la commande suivante :
arsenal
Pour aller encore plus vite, je me suis créé un alias de commande pour associer la commande "a" et la commande "arsenal", j'ai donc accès à toutes mes commandes avec une seule lettre. Pour ce faire, ajoutez cette ligne dans votre fichier ~/.bashrc (pour ceux qui utilisent bash bien sûr), puis rechargez votre terminal :
alias a=arsenal
Cette action peut être automatisée par le script addalias.sh fourni dans arsenal.
III. Retrouver ses commandes facilement avec arsenal
Par défaut, arsenal est fourni avec tout un tas de commandes plutôt orientées test d'intrusion (l'outil a été fait par/pour des pentester). Par exemple si vous souhaitez retrouver les commandes utilisant nmap (un scanner réseau), il suffit de lancer arsenal, puis de saisir "nmap" :
On peut ici voir plusieurs informations :
La premièrecolonne est la plateforme cible de la commande (L pour Linux, W pour Windows), la secondecolonne la cible de la commande (local, reconnaissance, distante, etc.) et la troisième colonne la catégorie.
Les quatrième et cinquième colonnes contiennent l'outil utilisé et une courte description, puis l'on aperçoit la commande en question.
Ici, tous ces champs sont pris en compte lors de la recherche. Vous pouvez donc simplement saisir Linux pour avoir toutes les commandes sur la plateforme Linux ou recon pour avoir toutes les commandes liées à de la reconnaissance, mais également commencer à saisir votre commande de tête, il ne restera au bout de quelques lettres que les 2 ou 3 commandes qui correspondent à ce que vous avez saisi.
Ensuite, plusieurs paramètres peuvent être à saisir pour compléter la commande et la faire correspondre à votre contexte exact, ici un nom d’utilisateur et le nom d'une base de données cible par exemple :
Suite à cela, il suffit de taper la touche "Entrée" pour que la commande s'ajoute dans votre terminal. Vous pourrez ensuite vérifier une dernière fois que la commande générée est la bonne, puis exécuter la commande ! Plus besoin donc de se rappeler de la totalité des options de tous vos outils, arsenal le fait pour vous.
IV. Utiliser ses propres commandes
Les commandes de pentest, c'est bien gentil, mais cela doit assez peu vous intéresser si vous n'êtes pas pentester. Bonne nouvelle, vous pouvez intégrer à arsenal toutes vos commandes favorites et enlever les commandes préenregistrées.
Il est en effet possible de rajouter ses propres fichiers de commande au sein du dossier ~/.cheats ou du dossier my_cheats/ présent dans le dossier d'arsenal. Tout fichier .md (Markdown) créé dans ces dossiers sera parcouru par arsenal. Attention, un formatage est bien sûr à respecter, au risque de faire planter arsenal au lancement (vous vous en apercevrez vite ;-)) .
Prenons un exemple : je souhaite enregistrer les commandes pour manipuler des archives tar, car les options me sortent souvent de la tête . Il conviendra de définir un fichier .md semblable à celui-ci (cet exemple est déjà intégré à arsenal) :
# tar
% archive
#plateform/linux #target/local #cat/UTILS
## Create a tar containing files
```
tar cf <name>.tar <files>
```
## Extract the files from a tar
```
tar xf <tar_file>
```
## Create a tar with Gzip compression
```
tar czf <name>.tar.gz <files>
```
## Extract a tar using Gzip
```
tar xzf <targz_file>
```
Je vous propose avec l'image ci-dessous une correspondance entre le contenu du fichier .md ci-dessus et le résultat dans arsenal dans l'image ci-dessous :
Une chose à rajouter, vous pouvez (et c'est le plus pratique) ajouter des variables pour vos options. Par exemple, le nom du groupe et de la VM à supprimer dans la commande Azure Cloud suivante :
az vm delete -g MyRG -n MyLinuxVM --yes
Pour cela, il faut mettre l'élément concerné entre chevrons (< >), exemple sous format arsenal :
# az
% cloud
#plateform/Azure #target/remote #cat/UTILS
## delete VM (with name and group specified)
```
az vm delete -g <groupeName> -n <VMName> --yes
```
Voici le résultat dans l'outil :
Encore mieux, vous pouvez mettre des valeurs pré-saisies dans ces variables. C'est par exemple pratique si vous utilisez les mêmes valeurs dans 90% des cas, mais qu'il arrive que ces valeurs changent. On utilisera alors un pipe ( | ):
# az
% cloud
#plateform/Azure #target/remote #cat/UTILS
## delete VM (with the name MyLinuxVM in the group MyRG)
```
az vm delete -g <groupeName|ServeursWindows> -n <VMName|VM_Windows_01> --yes
```
Vous verrez alors que vos variables de commande sont déjà remplies, mais que vous êtes toujours libre de les modifier via arsenal. Enfin pour enlever les nombreuses commandes pré-enregistrées dans arsenal, il vous suffit de renommer le dossier "cheats" par défaut :
Si vous avez installé arsenal via git : il se trouvera à la racine du répertoire d'installation (par exemple /opt/arsenal/cheats)
Si vous l'avez installé via pip : il se trouvera dans /home/<username>/.local/lib/python3.<X>/site-packages/arsenal/data/.
Un renommage en cheatsOLD suffira par exemple. Pensez cependant à parcourir les fichiers .md par défaut pour vous habituer à la syntaxe des commandes et récupérer celles qui vous intéressent.
V. Conclusion
Arsenal est un outil ultra pratique pour ceux qui travaillent la majorité de leur temps en ligne de commande, sa conception fait qu'il est simple et rapide d'utilisation, même si la création de vos propres cheats (fichiers Markdown) peut prendre du temps au départ. Je vous recommande vivement de l'essayer !
N'hésitez pas à partager votre avis et poser vos questions dans les commentaires ou sur notre discord !
