Warning: Cannot modify header information - headers already sent by (output started at /var/www/html/wp-content/plugins/portfolio-slideshow/portfolio-slideshow.php:65) in /var/www/html/wp-includes/feed-rss2.php on line 8
Sécurité – Les mémos d'un admin système https://blog-sysadmin.archives.slashroot.fr Sat, 29 Jul 2017 07:31:37 +0000 fr-FR hourly 1 https://wordpress.org/?v=4.8.23 [Web] Tester la configuration SSL de son site https://blog-sysadmin.archives.slashroot.fr/?p=1475 https://blog-sysadmin.archives.slashroot.fr/?p=1475#respond Thu, 27 Jul 2017 11:32:45 +0000 http://blog.slashroot.fr/?p=1475 Le site ssllabs propose une série de tests afin de catégoriser la configuration SSL d’un site Internet (d’un point de vue sécurité bien entendu).

Je recommande de vérifier régulièrement ses sites afin de corriger les éventuelles vulnérabilités qui arrivent avec le temps.

Pour ma part, j’étais en B et je suis maintenant en A. Merci SSL LABS !

Lien : https://www.ssllabs.com/ssltest/

]]> https://blog-sysadmin.archives.slashroot.fr/?feed=rss2&p=1475 0 [Réseaux] Introduction au MPLS https://blog-sysadmin.archives.slashroot.fr/?p=17 https://blog-sysadmin.archives.slashroot.fr/?p=17#respond Wed, 16 Nov 2011 16:48:56 +0000 http://blog.slashroot.fr/?p=17 Voici une breve introduction au MPLS basée sur mes maigres conaissances en réseaux.

Présentation

Le protocole MPLS (Multi Protocol Label Switching) permet de transporter des données grâce à la constitution de réseaux privés virtuels à l’intérieur de l’infrastructure d’un opérateur.

Il se base sur une étiquette pour commuter les paquets à travers deux équipements, les LER (Label Edge Routeurs) et les LSR (Label Switch Routers). Cette opération s’effectue entre la couche liaison de données et la couche réseau, c’est pourquoi MPLS est qualifié de protocole de couche « 2,5 ».

MPLS offre une étanchéité des flux et supporte les différents protocoles de niveau 1 à 3 du modèle OSI. Le but est d’associer la puissance de la commutation de la couche 2 avec la flexibilité du routage de la couche 3.

Principe

 

 

Les LER sont les routeurs de périphéries qui marquent le trafic à l’entrée du réseau MPLS. Ils encapsulent les datagrammes d’un protocole spécifiques (par exemple IP) dans les datagrammes MPLS. Cette encapsulation consiste à rajouter une étiquette (label) dépendant de la destination, de la nature et de la priorité du trafic.

Les LSR analysent les étiquettes des datagrammes MPLS et traitent chaque datagramme selon l’information contenue dans son étiquette. Ils changent également la valeur de l’étiquette qu’ils font suivre.  Le traitement que doit effectuer un LER ou LSR est décrit dans une structure de données propre à chaque routeur MPLS appelée LIB (Label Information Base)

Les paquets de données ainsi étiquetés par les LER suivent leur trajet spécifique aiguillé sur le bon chemin tout au long de leur trajet par les LSR. Ce système d’étiquetage des données permet au responsable du réseau au sein de l’entreprise de définir des ordres de priorité, donc de la QoS (Quality of Service).

Etiquette

Pour les réseaux Ethernet, un champ de 32 bits nommé « shim » a été introduit. Il contient les champs :

  • Etiquette
  • Fonctions expérimentales pour la CoS (Class of Service)
  • Bit S : Pile de labels (indique le bas de la pile)
  • TTL (Time To Live), identique à IP

L’étiquette a une signification locale entre 2 LSR adjacents et mappe le flux de trafic entre le LSR amont et la LSR aval.

MAC Header Entête MPLS Couche 3

< ——– 32 bits ——– >

 

Etiquette EXP/CoS S TTL

< ———– 20 bits ———– > < — 3 bits — > <1bit>  <8bits>

Distribution des étiquettes MPLS

Les LSR commutent à partir des étiquettes entre deux équipements voisins. Les LER et LSR doivent préalablement se mettre d’accord sur les traitements associés à chaque étiquette, pour cela ils utilisent un protocole de signalisation (LDP : Label DistributionProtocol)

La distribution peut s’effectuée de deux manière :

  • Non centralisée : chaque équipement établit et annonce les informations de commutation en écoutant les annonces de routage (Hop By Hop)
  • Contrôlée : un équipement du réseau MPLS est responsable de la distribution des informations de commutation

Ces deux manières sont également respectivement appelés Routage Implicite et Explicite. La première approche à l’avantage de converger plus rapidement mais la seconde permet de faire du Traffic Engineering.

Topologie et terminologie

Le schéma ci-dessous montre l’emplacement des différents routeurs utilisés dans une architecture MPLS :

 

 

Une terminologie particulière est employée pour désigner ces routeurs en fonction de leur rôle :

Nom Description Responsabilité
Customer Edge (CE) Routeur interne au client, il n’a aucune connaissance des VPN ou même de la notion de label, c’est un routeur dit « traditionnel ». Client
Provider (P) Composants le coeur du réseau opérateur, ils assurent la connectivité entre les PE. Ils n’ont aucune connaissance de la notion de VPN, ils se contentent d’acheminer les données grâce à la commutation de labels. Opérateur
Provider Edge (PE) Situés à la frontière du réseau opérateur,  ils maintiennent une table de commutation appelée VRF (VPN Routing andForwarding ) pour chaque client. Opérateur

 

Trois types de flux transitent :

  • Les données que les clients échangent au sein du VPN
  • Les informations de contrôle relatives aux VPN et échangées entre les PE
  • Les informations de contrôle relatives aux chemins entre les PE (routage, étiquettes)

La sécurité des VPN MPLS se base donc sur la confiance dans le réseau de l’opérateur. Si des besoins forts de sécurité exigent le service de confidentialité, il est possible de combiner IPSec à MPLS.

QoS (Quality of Services)

Comme nous l’avons vu précédemment, MPLS gère également la qualité de service en définissant 5 classes de services :

Classe Type Commentaires
1 Vidéo Possède un niveau de priorité plus élevé que les classes de service de données.
2 Voix Possède un niveau de priorité équivalent à celui de la vidéo.
3 Données très prioritaires (D1) Possède le plus haut niveau de priorité pour les données, elle sert notamment aux applications ayant des besoins critiques en termes de performance, de disponibilité et de bande passante.
4 Données prioritaires (D2) Applications non critiques possédant des exigences particulières en termes de bande passante.
5 Données non prioritaires (D3) La moins prioritaire.

 

La définition de classes disposant chacune d’un niveau de priorité permet de garantir une qualité de service adaptée à chacun des flux.

Ainsi MPLS permet de véhiculer de la VOIP ou même de mettre en place des applications de visioconférence dans d’excellentes conditions, même sur des VPN à forts taux d’utilisation.

]]> https://blog-sysadmin.archives.slashroot.fr/?feed=rss2&p=17 0 [Debian] fail2ban https://blog-sysadmin.archives.slashroot.fr/?p=9 https://blog-sysadmin.archives.slashroot.fr/?p=9#respond Tue, 15 Nov 2011 15:08:04 +0000 http://blog.slashroot.fr/?p=9 Présentation

Fail2ban est un IPS écrit en python qui analyse la quasi totalité des logs du serveur via des expressions régulières à la recherche d’erreurs d’authentification répétées et ajoute une règle iptables afin de bannir l’adresse IP de la source considéré comme malveillante.

Fail2ban est souvent configuré pour débannir les hôtes après un certain temps afin d’éviter le blocage permanant des erreurs liés à l’oubli du mot de passe ou autres. Plusieurs actions sont possibles en cas de détection comme l’ajout de règles iptables, l’ajout de l’hôte dans le hosts.deny, notification par email ou encore n’importe quelle action pouvant être effectuée en python.

La combinaison des filtres et actions correspond à une prison (jail en anglais). Dès que les paramètres de session remplissent les conditions d’un filtre, l’hôte est placé dans la prison du service correspondant (chaque service dispose de sa propre prison).

Le fichier de configuration « jail.conf » se trouve à la racine (/etc/fail2ban/), les actions possibles dans le dossier « action.d »  et les filtres dans le dossier « filter.d ».

Configuration

Fail2ban a été configuré pour les services saslauthd, ssh et proftpd afin de bannir les IPs qui fournissent 5 mauvais mots de passe consécutifs sur les connexions SSH, POP, IMAP et FTP. Un email est envoyé pour chaque bannissement.

/etc/fail2ban/jail.conf

ignoreip = 127.0.0.1
bantime = 36000
maxretry = 5
destemail = admin@em-corporation.fr
banaction = iptables-multiport
mta = sendmail
action = %(action_mw)s

[ssh]
enabled = true
port = ssh
filter = sshd
logpath = /var/log/auth.log
maxretry = 5

[sasl]
enabled = true
port = pop3,imap
filter = sasl
logpath = /var/log/mail.log
maxretry = 5

[proftpd]
enabled = true
port = ftp,ftp-data,ftps,ftps-data
filter = proftpd
logpath = /var/log/proftpd.auth_log
maxretry = 5

Les filtres SASL et proftpd sont à changer car ils ne correspondent pas à la nomenclature des fichiers de log (dans la version 0.8.3-2 en tout cas).

/etc/fail2ban/filter.d/sasl.conf

failregex = : badlogin: .*\[\] plaintext .*SASL\(-13\): authentication failure: checkpass failed$
: badlogin: .*\[\] LOGIN \[SASL\(-13\): authentication failure: checkpass failed\]$
: badlogin: .*\[\] (?:CRAM-MD5|NTLM) \[SASL\(-13\): authentication failure: incorrect (?:digest|NTLM) response\]$
: badlogin: .*\[\] DIGEST-MD5 \[SASL\(-13\): authentication failure: client response doesn't match what we generated\]$

/etc/fail2ban/filter.d/proftpd.conf

failregex = (.*) (.*)  (.*) (.*) 530

Iptables

Comme vu précédemment, fail2ban est configuré pour bannir les @IP via iptables. Voici les commandes permettant de visualiser les adresses bannies et si jamais d’en débannir certaines avant la fin du « bantime ».

Afficher toutes les adresses bannies :

iptables -L

Afficher les adresses bannies d’un certain service :

iptables -L fail2ban-sasl

Débannir une adresse :

iptables -D fail2ban-sasl #

(ou # représente le numéro de la ligne de l’hôte)

]]> https://blog-sysadmin.archives.slashroot.fr/?feed=rss2&p=9 0