I. Présentation

Sous Windows, il est possible de mettre en place un serveur FTP avec des logiciels tiers comme FileZilla Server, mais aussi grâce à un serveur IIS qui correspond à une fonctionnalité propre à Windows.

L’objectif de ce tutoriel est de mettre en place un site FTP sur un serveur IIS en version 8.5, installé sous Windows Server 2012 R2. De plus, chaque utilisateur devra être isolé dans son propre répertoire personnel sur le FTP, et, il ne pourra pas accéder (ni voir) les autres répertoires des autres utilisateurs. Cela permet de réduire le champ d’action de chaque utilisateur.

Avant de commencer, assurez-vous d’avoir installé un serveur web IIS fonctionnel sur votre machine car nous commencerons à partir de l’installation du module FTP sur IIS (installer IIS 8 sous Windows 8).

II. Infrastructure

Avant de commencer la configuration, voici un schéma de l’infrastructure que j’utilise pour la réalisation de ce tutoriel :

Le site FTP dans IIS sera nommé “IT-CONNECT-FTP” et permettra l’accès à deux utilisateurs possédant un compte dans le domaine Active Directory : admin01 et technicien01. Chaque utilisateur pourra accéder uniquement à son dossier personnel sur le FTP, d’où l’architecture FTP présentée ci-dessus.

III. Installation du serveur FTP

Commençons par installer le serveur FTP au sein d’IIS. Pour cela, on utilisera PowerShell. Pour visualiser si le serveur FTP est déjà installé ou non, saisissez cette commande :

Get-WindowsFeature | Where{ $_.Name -match "FTP"}

On remarque que la case “Serveur FTP” n’est pas cochée, il faut donc l’installer.

Pour l’installation, on procédera comme ceci :

Install-WindowsFeature -Name Web-Ftp-Server -IncludeAllSubFeature

Pour ceux qui souhaitent le faire via l’interface graphique, il faudra ajouter une fonctionnalité et cochez le serveur FTP sous “Serveur Web (IIS)”

La phase d’installation de la fonctionnalité est terminée. Passons à la création des données du site FTP.

IV. Création de l’arborescence FTP

Avant de créer le site FTP, on va créer l’arborescence FTP décrite sur mon schéma d’infrastructure dans la partie précédente. Tout d’abord, accédez à :

C:\inetpub\ftproot

Dans ce répertoire, créez un répertoire portant le nom NETBIOS de votre domaine. Par exemple, dans mon cas il s’agit du domaine “it-connect.fr” donc je crée un répertoire “IT-CONNECT“. Ceci est essentiel pour l’isolation.

Ensuite, dans ce répertoire créez un dossier pour chaque utilisateur où le nom de dossier sera le nom de connexion de l’utilisateur. Par exemple, pour l’utilisateur “admin01” créez un dossier nommé “admin01“. Placez des données – éventuellement – dans les dossiers de vos utilisateurs (utile pour les tests).

Vous obtiendrez ceci (comme décrit sur l’infrastructure) :

V. Création du site FTP

Passons à la création du site FTP et à sa configuration. Ouvrez le “Gestionnaire des services Internet (IIS)” sur votre serveur FTP. Effectuez un clic droit sur le nom de votre serveur (exemple : SRV01) et cliquez sur “Ajouter un site FTP“.

Donnez un nom au site FTP, pour ma part j’indique “IT-Connect-FTP” et comme chemin d’accès physique indiquez “C:\inetpub\ftproot“. Continuez.

Ensuite, configurons la liaison, pour l’adresse IP vous pouvez choisir “Toutes non attribuées“. Concernant le SSL bien qu’il soit intéressant de le mettre en place pour sécuriser les communications et les échanges client/serveur, choisissez “Pas de SSL” car cela nécessiterait la création d’un certificat via une autorité de certificat (CA). Cliquez sur “Suivant“.

Pour l’authentification, choisissez “De base“, dans ce cas nous n’autorisons pas les connexions en Anonyme mais vous pouvez les autoriser. Concernant les autorisations, sélectionnez “Tous les utilisateurs” et donnez les droits de Lecture et Écriture pour que chaque utilisateur puisse travailler dans son répertoire.

Choisir “Tous les utilisateurs” est très flexible, si vous devez définir seulement quelques utilisateurs vous pouvez indiquer explicitement la liste.

Cliquez sur “Terminer” pour finaliser la création du site FTP qui sera directement opérationnel.

VI. Configurer l’isolation des utilisateurs

Point final de la configuration, l’isolation des utilisateurs afin qu’ils soient dirigés directement vers leur répertoire personnel sur le serveur FTP. Pour cela, sélectionnez le site FTP que nous venons de créer dans la console IIS, puis, sur la droite double cliquez sur “Isolation d’utilisateur FTP“.

Sélectionnez l’option “Répertoire des noms d’utilisateurs (désactiver les répertoires virtuels globaux)” pour que un utilisateur soit mappé directement dans le répertoire qui porte son nom. Cliquez sur “Appliquer“.

L’option “Répertoire des noms d’utilisateurs (désactiver les répertoires virtuels globaux)” permet d’isoler également les utilisateurs, mais, les répertoires virtuels de plus haut niveaux sont actifs et peuvent être accessibles par l’utilisateur s’il dispose des droits nécessaires.

Enfin, l’option “Répertoire de base FTP configuré dans Active Directory” permet de mapper l’utilisateur dans son répertoire FTP définit dans l’Active Directory. Voir au niveau des directives msIIS-FTPRoot et msIIS-FTPDir.

VII. La phase de test

Désormais notre serveur FTP est fin prêt ! Passons sur la machine cliente afin de simuler un test de connexion. Pour cela, je vais utiliser l’explorateur Windows mais aussi le client FileZilla.

Dans l’explorateur, j’indique : ftp://admin01@192.168.1.201

On me demande de m’authentifier, suite à cette authentification je serais redirigé vers le répertoire “admin01” du FTP.

Par ailleurs, lors que je tente un accès avec le logiciel FileZilla en utilisant le nom DNS de la machine SRV01, j’accède également au FTP :

On remarque bien la présence de mon fichier, et, il m’est impossible de remonter à un niveau supérieur du FTP.

Note : Si un problème d’upload survient, vérifiez les droits NTFS sur le dossier FTP. Donnez les droits en lecture seule ou en lecture/écriture à l’utilisateur concerné au niveau NTFS afin qu’il puisse écrire sur l’espace disque.

Le FTP est opérationnel, les utilisateurs autorisés sont bien mappés chacun dans leur dossier respectif.

Sur le Cloud OneDrive, Microsoft offre la possibilité d’obtenir 15 Go de stockage gratuitement. Désormais, pour les utilisateurs d’iPhone, d’iPad ou d’iPod, vous pouvez disposer de 30 Go d’espace gratuitement, soit le double.

Cette réaction de Microsoft est certainement liée au fait que pour installer iOS 8, il faut 5,7 Go d’espace libre sur son appareil même si la mise à jour en elle-même pèse moins d’1 Go. De ce fait, si vous avez un appareil 16 Go ou 8 Go, cela pourra être compliqué à gérer.

Microsoft propose sa solution OneDrive après avoir téléchargé l’application sur l’App Store. Pour profiter de l’espace de stockage gratuit, vous devez activer la fonction de sauvegarde automatique des photos. Vos données seront donc sauvegardées en ligne sur le Cloud de Microsoft.

Pour Android et Windows Phone, le stockage devrait également augmenter dans les mêmes proportions. Cela ne devrait pas tarder puisque normalement l’offre se termine à la fin du mois.

I. Présentation

La nouvelle version stable de la distribution CentOS comporte son lot de changement. Parmi eux, le fait que la commande ifconfig ne soit plus présente nativement dans le système. Fort de mes vielles habitudes, j’ai souhaité la retrouver et vu que je ne suis surement pas le seul, je vous partage ici la procédure pour la réinstaller sur votre système.

II. ifconfig, c’est quel paquet déjà ?

Pour retrouver l’utilisation d’ifconfig et des commandes associées pour la gestion du réseau, il faut retrouver le nom du paquet contenant cette commande. La commande yum propose une option permettant de retrouver un paquet en fonction de la commande que l’on cherche, plutôt pratique ! Utilisez l’option “provides” comme suivant :

yum provides ifconfig

On voit donc que c’est le paquet “net-tools” qui permet d’utiliser cette commande.

III. Installation du paquet net-tools

Voila, il suffit maintenant d’installer le paquet “net-tools” pour retrouver la commande ifconfig :

yum install net-tools

On validera ensuite notre choix suite à l’affichage des dépendances et du dépôt choisi :

Puis nous pourrons enfin réutiliser notre commande ifconfig :

Une faille de sécurité est présente dans la page web d’Amazon qui permet de gérer sa liseuse Kindle, elle contient une faille XSS (cross-site scripting). Leader sur le marché des e-books, Amazon semble attirer les convoitises des pirates et des experts en sécurité.

D’ailleurs, Daniel Mussler, un chercheur indépendant en sécurité informatique a découvert la faille de sécurité en question. La page web de gestion nommée “Gérer votre contenu et vos appareils” ou “Gérer vos Kindle” est la source du problème.

Le script malicieux peut se trouver dans les métadonnées associées à un e-book justement, dès que l’utilisateur qui a associé cet e-book à sa liseuse Kindle se rendra sur la page de gestion.

C’est alors votre compte Amazon qui est en danger ! En effet, l’attaque XSS permet au pirate de récupérer les cookies contenant vos identifiants Amazon. Cette même faille était présente au sein de logiciels de gestion de bibliothèque Kindle comme Calibre, ce dernier ayant était mit à jour vers la version 1.80 qui corrige ce problème.

Rassurez-vous, Amazon a déjà réagit et a corrigé cette faille. Cependant, restez vigileant malgré tout et assurez-vous de vous procurer vos e-books depuis des sources fiables.

I. Présentation

Sur les serveurs, l’attaque classique est le “Brute force” c’est à dire que l’on teste toutes les combinaisons possibles afin de deviner le mot de passe d’accès à un service. Par exemple, si l’on devine la présence d’un serveur FTP sous Windows, on pourra se dire qu’il y a un compte “Administrateur” et donc qu’il ne reste plus qu’à trouver le mot de passe pour obtenir un accès.

Lors d’une attaque “Brute force” – qui peut conduire à un déni de service de la machine – de nombreux accès sont tentés sur le serveur afin d’essayer les milliers (et encore je suis gentil) de combinaisons possibles pour espérer trouver le mot de passe.

IIS 8, depuis Windows Server 2012 R2, et donc implicitement IIS 8.5, intègre une fonctionnalité qui protège contre les attaques de type “Brute force“. C’est ce que nous allons configurer dans ce tutoriel.

II. Procédure

Avant de commencer la configuration, il faut savoir que cette protection peut être activée uniquement au niveau du serveur IIS de manière globale pour l’ensemble des sites FTP, et non, au cas par cas.

Ouvrez la console “Gestionnaire des services Internet (IIS)” sur votre serveur IIS et sélectionnez-le dans la console afin d’obtenir sa page d’accueil. Dans les modules affichés sur la partie centrale, double cliquez sur “Restrictions de tentatives de connexion FTP“.

Cochez l’option “Activer les restrictions de tentatives de connexion FTP“. Ensuite, il faut indiquer le nombre maximal de tentatives autorisées avant bannissement, puis, indiquer la durée du bannissement (en secondes). Exemple : Bannissement de 5 minutes au bout de 5 échecs de connexion.

Laissez active l’option “Refuser les adresses IP en se basant sur le nombre de tentatives de connexion qui ont échoué”, l’autre option permet également de journaliser ces tentatives.

III. Vérification du fonctionnement

Pour vérifier le fonctionnement, il suffit de tenter de se connecter au serveur FTP en utilisant des identifiants aléatoirement. Par exemple, depuis une machine cliente équipée du client FTP FileZilla, j’ai tenté de me connecter avec l’utilisateur “Administrateur” et des mots de passe aléatoire.

Après 5 échecs, à la sixième tentative le serveur refuse ma connexion alors qu’avant le blocage, il arrive à se connecter et “bloque” au niveau du mot de passe ce dernier étant incorrect :

Votre serveur FTP est désormais protégé contre les attaques Brute force !