I. Présentation

Dans un tutoriel précédent sur le SMB 3.0, on a vu comment créer un partage SMB en activant le chiffrement afin de sécuriser le trafic entre le client et le serveur. Désormais, on va configurer notre serveur de manière à forcer l’activation du chiffrement sur l’ensemble des partages du serveur.

Ainsi, les partages actuels tout comme les partages futurs auront l’option de chiffrement activée. Une couche de sécurité que l’on étend donc à tout le serveur d’une part, et d’autre part une administration simplifiée.

On va maintenant passer à la pratique ! Juste avant, je tiens à préciser que le serveur doit être au minimum Windows Server 2012, pour ma part je me trouve sur un serveur Windows Server 2012 R2.

II. Configurer le serveur

Pour la configuration, on va s’appuyer sur PowerShell qui permet d’effectuer la modification en une seule commande ! Commencez par ouvrir une console PowerShell sur votre serveur, avec un compte Administrateur.

Au niveau du serveur, le chiffrement “global” pour tous les partages correspond à l’option “EncryptData” qui par défaut est sur “false” (faux/désactivé). On peut vérifier cela avec la commande ci-dessous qui permet d’obtenir la configuration du serveur :

Get-SmbServerConfiguration

Pour passer ce paramètre à true afin d’activer le chiffrement des données transmises au sein du trafic SMB 3.0, on va s’appuyer sur le commandlet “Set-SmbServerConfiguration” et modifier la valeur du paramètre EncryptData, voici la commande :

Set-SmbServerConfiguration -EncryptData $true

Indiquez “T” et appuyez sur Entrée pour valider la modification.

Enfin, on peut lister à nouveau la configuration du serveur dans le but de vérifier que la valeur du paramètre a bien changée :

Avec cette nouvelle configuration, le chiffrement est forcé et actif sur tous les partages. D’ailleurs, si l’on tente de créer un nouveau partage via le Gestionnaire de serveur, on peut voir que l’option du chiffrement est active et grisée (il n’est pas possible de décocher la case) :

C’est la fin de ce tutoriel, si vous avez des questions n’hésitez pas à créer une nouvelle discussion au sein de notre forum.

La nouvelle branche stable de la distribution Linux “Debian” est disponible ! Deux ans après, la 8ème version de Debian alias Jessie vient remplacer Wheezy.

Depuis samedi, vous pouvez en profiter, avec au programme de nombreuses mises à jour de paquets, le retour de Gnome comme environnement de Bureau, mais aussi le support de deux nouvelles architectures ainsi que systemd pour l’initialisation.

– Mise à jour

De nombreux paquets sont mis à jour par rapport à la version 7 de Debian, notamment pour intégrer des versions plus sécurisées et qui protègent contre des failles découvertes l’an passé comme POODLE (faille dans SSLv3). Le noyau Linux passe également en version 3.16.

Quelques paquets mis à jour : La suite bureautique LibreOffice 4.3.3, le navigateur Iceweasel et le client de messagerie Icedove 31.6.0, l’hyperviseur Xen 4.4.1, l’éditeur d’images GIMP 2.8.14, ou encore le serveur web Apache 2.4.10. Pour les amateurs de base de données, on notera le passage à MySQL 5.5.42, à MariaDB 10.0.16 et PostgreSQL 9.4.1.

– Systemd

Ce système d’initialisation remplace par défaut Sysvinit, Systemd proposerait une meilleure gestion des services et serait plus performant quant à la surveillance.

– Nouvelles architectures

Les architectures arm64 et ppc64el sont désormais supportées par Debian, à l’inverse des architectures vieillissantes sont retirées : ia64 et s390. Au final, dix architectures matérielles différentes sont supportées. Enfin, on notera la gestion améliorée de l’UEFI afin de faciliter l’installation de Debian Jessie sur certaines machines.

– Gnome

L’environnement graphique Gnome 3.14 est actif par défaut, mais cela n’empêche pas d’installer un autre environnement…

Enfin, pour effectuer une recherche au sein des 130 Go de code source de Debian, il y a désormais un moteur de recherche dédié à cela : codesearch.debian.net

La note complète : Debian Jessie

Source

I. Présentation

Openfire est un serveur de tchat ou de collaboration en temps réel utilisant le protocole Jabber sous licence GLP. Ce programme est écrit en Java par Jive Software, et il possède un client Spark. Pour l’histoire, il a déjà connu le nom de JiveMessenger, puis Wildfire avant de devenir Openfire.

Il est possible de télécharger ses deux programmes : Télécharger Openfire

Le setup du serveur Openfire est disponible pour les systèmes d’exploitation Windows, Linux ou encore Mac.

II. Préparation

Openfire peut utiliser sa propre base de données ou se connecter sur un SGDB externe comme Microsoft SQL, Oracle ou MySQL.

Les utilisateurs peuvent aussi être internes au système, ou relié à un serveur LDAP comme l’Active Dirtectory (AD). Dans cet article, nous allons installer le serveur sous un Windows 2012 R2 avec sa propre base de données, mais avec des utilisateurs provenant de notre AD.

Il est conseillé de créer un compte utilisateur sans droit particulier afin de faire une interrogation LDAP puisque Windows refuse les interrogations LDAP anonymes.

III. Installation du serveur

Lancer le programme d’installation openfire_3.9.3.exe (le numéro de version peut changer), le reste est assez classique avec l’acceptation de la licence d’utilisation et le chemin d’installation.

Par contre moins classique, à la fin de l’installation, le lancement de la console d’administration nous délivre une erreur.

Heureusement assez simple à résoudre. Il suffit de donner les permissions de modification NTFS au groupe utilisateurs dans le chemin d’accès. Par défaut : C:\Program Files (x86)\Openfire

Une fois le problème de permission réglé, allez-y pour le lancement de la console. Accédez à l’adresse de votre serveur en HTTP sur le port 9090, avec votre navigateur préféré.

IV. Configuration du serveur

La première page s’affiche, on choisit la langue du serveur et notre domaine (la limitation du produit est qu’il ne gère qu’un seul domaine).

Le choix de notre serveur SQL (dans notre cas la BD interne).

Où sont stockés les utilisateurs ?

Dans notre tutoriel, j’ai fait le choix d’utiliser des comptes d’utilisateurs provenant de l’Active Directory, dans ce cas, il faudra rentrer les informations en nom relatif distinct comme montré sur la capture d’écran.

– La base DN est à partir d’où on peut trouver des utilisateurs dans notre organisation AD

– Le DN administrateur est uniquement un compte d’utilisateur (sans permissions particulières) qui permet de faire une interrogation LDAP. Attention, puisque c’est un compte de service, le mot de passe ne doit pas expirer.

Une fois la connexion au serveur LDAP réalisé, il nous reste qu’à configurer les informations que notre serveur va aller prendre sur les groupes et les utilisateurs de notre AD (téléphone, adresse, etc.)

Le dernier écran sera pour dire les comptes qui seront administrateur d’Openfire. Dans cet exemple, l’utilisateur “francis” sera administrateur de l’application.

V. Le client

Après avoir téléchargé le client Spark, l’installation est assez simple. Il est toutefois possible de faire une installation silencieuse pour les déploiements avec la commande suivante :

spark_2_6_2.exe –q

Pour la connexion du client, le compte AD fait l’affaire, on peut se connecter avec :

Attention, le client parle au serveur sur le port 5222 ou en SSL sur le port 5223. Il faut penser à ouvrir les ports nécessaires au fonctionnement.

Quelques exemples :

Voici un exemple de conversation entre 2 personnes…

Et maintenant un exemple de création d’un salon ou une conférence (selon la traduction)

Lancer une Invitation, on invite un ou plusieurs utilisateurs à cette conférence.

Exemple de conversation dans un salon avec 2 personnes connectées :

VI. Gestion du serveur

Le serveur ce géré à travers un navigateur. Le port par défaut est le 9090 en http ou 9091 en HTTPS.

C’est à cet endroit que l’on peut reprendre ou modifier les configurations, gérer les utilisateurs, ou encore voir les sessions en cours.

Le serveur Openfire possède aussi une section de plug-in avec des options très intéressantes comme l’intégration à Asterisk, cluster, monitoring, etc. La liste des plug-ins est disponible ici

C’est aussi à travers notre interface de gestion que l’on peut procéder à l’installation et à la configuration de ceux-ci

A. Exemple d’installation d’un plug-in

Dans la console de gestion, aller dans la section Plugins puis plug-ins disponibles

Choisir le plug-in souhaité, et cliquez ensuite sur le “+” vert :

Et après un certain temps, l’installation se termine avec succès :

VII. Conclusion

Et voilà comment installer facilement un serveur de tchat interne. Comme il est distribué sous licence GPL, ça peut faire un serveur de tchat pour l’entreprise gratuit et facile à installer et à configurer. Même si le produit offre plus de possibilités comme la connexion à d’autres serveurs Jabber, mais cela sort du cadre de ce tutoriel. Je vous invite à lire la documentation ici (en anglais)

Le traditionnel Patch Tuesday est sorti la semaine dernière, avec comme à son habitude un lot de correctifs pour les produits Microsoft. Hier, Microsoft a publié une seconde vague de mise à jour pour le mois d’Avril, ce que l’on peut appeler en quelque sorte un second Patch Tuesday…

Ces mises à jour ne sont pas critiques, mais visent à améliorer la connectivité Wi-Fi de Windows, ou encore de bénéficier d’une meilleure gestion des sauvegardes sur Blu-Ray.

Au niveau des produits concernés, il y a seulement des systèmes d’exploitation : Windows 7, Windows 8, Windows 8.1, Windows RT 8.1, Windows Server 2012 R2, et Windows Server 2012.

D’après Clubic, sur les 34 mises à jour proposées, il y a la mise à jour “KB3022345” qui ne semble pas s’installer correctement (un code d’erreur est généré).

Source

I. Présentation

Le protocole SMB depuis sa version 3.0 révolutionne le protocole de partage de fichiers de Windows, notamment car il augmente la sécurité comme nous allons le voir dans ce tutoriel. En effet, une fonction de chiffrement est directement implémentée au sein du SMB depuis la version 3.0 (disponible depuis Windows 8 et Windows Server 2012).

Grâce à cela, fini les transferts de données en clair sur le réseau ! SMB 3.0 peut chiffrer les échanges via de l’AES-CCM 128 bits, avec de l’authentification habituelle en environnement Windows à savoir Kerberos ou NTLM.

De ce fait, dans ce tutoriel on va créer un partage en SMB 3.0 et mettre en place le chiffrement pour sécuriser les transferts de fichier. Enfin, on analysera le trafic avec le logiciel Wireshark pour vérifier que le trafic est sécurisé.

Au niveau de l’environnement que j’utilise, il s’agit de deux machines virtuelles sur Hyper-V, l’une étant sous Windows Server 2012 R2 (Active Directory – DNS – Serveur de fichiers), l’autre sous Windows 8.1 (intégré au domaine it-connect.local).

II. Création du partage SMB 3.0

Passons à la création du partage SMB sur le serveur Windows, ceci nécessite que la machine soit serveur de fichiers. Si ce n’est pas le cas de votre serveur, installez rapidement la fonctionnalité avec cette commande PowerShell :

Add-WindowsFeature -Name FS-FileServer

Ensuite, ouvrez le Gestionnaire de serveur, sur la gauche sélectionnez les services de fichiers et de stockage, et enfin cliquez sur la section “Partages” qui permet comme son nom l’indique de visualiser les partages présents sur le serveur.

En cliquant sur “Tâches” et “Nouveau partage” on va pouvoir démarrer l’assistant de création d’un partage.

Dans le cadre de tutoriel, on va sélectionner le profil “Partage SMB – Rapide”, car il permet de créer un partage SMB avec une configuration simple, alors que le mode avancé rentre dans les détails comme la gestion des quotas. Enfin, le mode application est conseillé si vous utilisez ce partage pour stocker des machines virtuelles avec Hyper-V (externalisation des VMs sur un espace de stockage partagé et accessible via SMB).

Il faut maintenant indiquer où l’on souhaite positionner le partage sur le serveur, c’est à dire au sein de quel répertoire : Où est-ce que je veux stocker les données de ce partage ? Si vous choisissez une lettre de lecteur, il y aura un répertoire “Shares” de créé à sa racine et il contiendra un sous-dossier pour votre partage. Si comme moi, vous préférez personnaliser le chemin remplissez la zone “Tapez un chemin personnalisé“. Pour ma part, je le stocke sous “C:\PartageSMBv3“, préférez une autre partition que le volume système C: si c’est possible.

On va nommer le partage, par exemple le même nom que le répertoire afin de s’y retrouver plus facilement : PartageSMBv3. Profitez-en pour repérer le chemin d’accès local et le chemin d’accès distant (UNC).

Comme on a indiqué un chemin personnalisé qui n’existe pas en local actuellement, un message d’avertissement est affiché. Validez avec “OK” pour qu’il soit créé.

Voilà une étape cruciale ! C’est maintenant qu’il faut activer l’option de chiffrement : “Chiffrer l’accès aux données“. Activez les autres options si nécessaire, notamment l’énumération basée sur l’accès autrement dit si vous activez cette option, un utilisateur verra au sein du partage uniquement les données sur lesquelles ils disposent d’un accès (au niveau des droits). Pour l’option de mise en cache, elle autorise ou non l’utilisation du contenu en mode hors connexion, et éventuellement lors de l’utilisation de BranchCache.

Cette étape est importante également puisqu’elle permet de définir des autorisations pour contrôler l’accès au partage et à ses données. C’est ici que vous devez définir si un utilisateur à le droit uniquement de lire le contenu, de lire et d’écrire pour créer du contenu… Gérer ses autorisation selon vos besoins, sachant que l’on peut bien sûr les modifier ultérieurement.

Confirmez pour démarrer la création et la configuration du partage, cliquez sur “Créer“.

C’est réussi ! Comme on peut le voir dans la console le partage “PartageSMBv3” est bien créé en tant que partage SMB.

En ce qui concerne le chiffrement, si vous êtes un adepte de PowerShell, mais aussi pour effectuer la modification rapidement, on peut utiliser la commande suivante pour l’activer sur un partage spécifique :

Set-SmbShare –Name <nom-partage> -EncryptData $true

En scriptant cette commande, on pourra aussi activer le chiffrement sur de multiples partages rapidement

Sur le poste client, on peut tester que le partage SMB est bien accessible en le montant depuis l’explorateur Windows, ou avec PowerShell :

New-PSDrive -Name S -Root \\SRV-AD01.it-connect.local\PartageSMBv3 -Persist -PSProvider FileSystem

La commande ci-dessus crée un lecteur réseau avec la lettre S, à destination du partage “PartageSMBv3” sur le serveur SRV-AD01.it-connect.local, de façon persistante (Persist) et il s’agit d’un partage réseau alors on précise le fournisseur “FileSystem“.

Maintenant, si l’on reprend la commande “Get-SmbConnection” que l’on a déjà utilisée dans un autre tutoriel, on verra que le partage est bien monté en SMB, et que la version du SMB utilisée est 3.02 (colonne Dialect). Ceci est tout à fait logique car Windows 8.1 et Windows Server 2012 R2 supportent tous les deux cette version du protocole, ils sont donc capable de l’utiliser pour négocier l’échange.

La création du partage SMB 3.0 sécurisé est désormais terminée, on va s’intéresser au trafic généré afin de confirmer que les échanges soient bien sécurisés.

III. Analyse du trafic avec WireShark

A l’aide de l’application WireShark on va analyser le trafic entre le client Windows 8.1 et le serveur de fichiers sur lequel on a créé le partage. On démarre l’analyse WireShark sur le serveur ou le client, c’est au choix… Pendant ce temps depuis le client on copie des données à destination du serveur… On stoppe la capture WireShark et on va analyser les trames.

Vous remarquerez de nombreuses trames “SMB2″ avec en information “Encrypted SMB3″ ce qui est déjà une bonne indication quant au chiffrement du trafic.

 

Si l’on sélectionne l’une de ces trames, que l’on regarde de plus près son contenu, on peut voir qu’un algorithme de chiffrement est déclaré : SMB2_ENCRYPTION_AES128_CCM qui correspond à de l’AES-CCM 128 bits, utilisé par le SMB 3.0 pour le chiffrement comme je le disais dans la présentation.

La ligne “Encrypted SMB3 data” affiche d’ailleurs les données chiffrées, le trafic est sécurisé !

Par ailleurs, une autre trame nommée “Ioctl Response FSCTL_VALIDATE_NEGOTIATE_INFO” est intéressante et elle intervient lors de l’ouverture de la session SMB. Le client fait sa demande d’ouverture et entre en négociation avec le serveur qui lui répond, c’est d’ailleurs la réponse qui est montrée sur la copie d’écran ci-dessous. L’opération FSCTL_VALIDATE_NEGOTIATE_INFO autorise le client et le serveur à répéter le processus de négociation sur un échange signé.

Si l’on regarde la trame de réponse du serveur en détail, on voit qu’il y a une succès dans la négociation de l’échange : STATUS_SUCCESS. Si le serveur n’aurait pas valider la demande, la réponse aurait pu être “STATUS_ACCESS_DENIED“. De la même manière s’il y a une incompatibilité au niveau SMB (version inférieure à 3.0) entre les deux parties, notamment s’il ne gère pas le “FSCTL_VALIDATE_NEGOTIATE_INFO“, une réponse comme “STATUS_NOT_SUPPORTED” pourra être retournée.

 

C’est la fin de ce tutoriel, j’espère qu’il vous permettra de mettre en place, si votre infrastructure le permet, des partages SMB 3.0 sécurisés avec le chiffrement. Pour toute question, utilisez notre forum, merci.