telephonie voip hakin9!07!2010[1]

Upload: djamel-bouguettouche

Post on 13-Jul-2015

325 views

Category:

Documents


0 download

TRANSCRIPT

formations formationsprofessionnelle & CertificationPlus de 350 formations agres par les diteurs et constructeurs et 4000 sessions dlivres par an font de Global Knowledge un organisme de formation rfrent en informatique, en management des Systmes dInformation et gestion de projets IT.

Global Knowledge a t lu Meilleur partenaire Formation de lanne par Cisco, VMware et Citrix!Les Essentiels Rseaux, Virtualisation, Voix, Scurit Les rseaux : architectures, mise en oeuvre et perspectives Enjeux et solutions dun environnement virtuel Voix sur IP : les fondamentaux La VoIP scurise Les fondamentaux de la scurit informatique CISSP Prparation la Certification Hacking Defined Advanced : se protger contre les agressions du SI

Virtualisation VMware, Microsoft & Citrix VMware Whats New vSphere 4 (mise jour des connaissances) VMware vSphere 4 : installation, configuration et administration VMware View : installation, configuration et administration VMware vSphere 4 : Troubleshooting nouveau VMware vSphere 4 : Design nouveau Mettre en oeuvre la virtualisation sous Windows 2008 (Hyper-V) Administrer les postes de travail avec MDOP Dployer et administrer System Center Virtual Machine Manager Planifier, dployer et grer System Center Configuration Manager Mettre en oeuvre et grer System Center Operations Manager 2007 Mettre en oeuvre Citrix XenApp 5 pour Windows Server 2008 Citrix Desktop Infrastructure : grer XenServer, XenDesktop, et Provisioning Server Mettre en oeuvre une solution de virtualisation avec Citrix nouveau

Gouvernance & Management Informatique La gouvernance et performance des Systmes dinformation Les tableaux de bord de la performance informatique Rentabilit et valeur ajoute des investissements informatiques Cobit Foundation et la gouvernance des SI ITIL v3 Foundation Le cas Wall Street : simulation sur ITIL v3 et ISO 20000 ISO/IEC 20000 Foundation ISO/IEC 27002 Foundation Matriser et accompagner les changements Dvelopper le leadership et les qualits de pilotage des managers Devenez manager coach de votre quipe

Rentre 2010 : les incontournablesRseaux Cisco Interconnecting Cisco Network Devices Part 1 (ICND1) Implementing Cisco IP Routing (ROUTE) nouveau Implementing Cisco IP Switched Networks (SWITCH) nouveau Troubleshooting & Maintaining Cisco IP Networks (TSHOOT) nouveau Configurer BGP sur des routeurs Cisco (BGP) Cisco IPV6 Concepts, Design et Dploiement (IPV6) Implementing Cisco MPLS (MPLS) Mettre en oeuvre une infrastructure Cisco MultiCast (ICMI) nouveau Mettre en oeuvre CiscoWorks LMS (CWLMS) Mettre en oeuvre la scurit des rseaux IOS Cisco (IINS) Scuriser les rseaux avec des routeurs et switches Cisco (SNRS) Les fondamentaux de la scurit des rseaux avec Cisco ASA (SNAF) Cisco Wireless Lan Fundamentals (CWLF) Mettre en oeuvre Cisco IOS Unified Communications (IIUC) Cisco : La Voix sur IP version 6.0 (CVOICEV6) Mettre en oeuvre la Qos Cisco (QOS) Cisco IP Telephony Part 1 version 6 (CIPT1V6) Data Center Network Infrastructure (DCNI-1)Formations ligibles au DIF | Support de cours remis chaque participant

Gestion de projet PMI / Prince 2 Introduction au management de projets La gestion des projets informatiques (IT) PMP Bootcamp : Prparation la certification Prince 2 Foundation

Client/Serveur/Messagerie Microsoft Installation et configuration du client Windows 7 Planifier les dploiements et administrer les environnements Windows 7 Configuration et administration de SharePoint Server 2010 nouveau Dvelopper et personnaliser les applications pour Sharepoint 2010 nouveau Lessentiel de ladministration de serveurs Windows 2008 Configurer et dpanner une infrastructure rseau Windows 2008 Active Directory pour Windows Server 2008 Configuration, administration et dpannage de Exchange Server 2010 Concevoir et dployer des solutions de messagerie avec Exchange 2010 nouveau Mise en uvre et maintenance des outils de communications unifies avec OCS R2

Renseignements & Inscriptions : Tl.: 0821 20 25 00 (prix dun appel local) [email protected] Tlchargez le catalogue complet sur :

www.globalknowledge.frGlobal Knowledge France - Sige social - Tour Albert 1er - 65, avenue de Colmar - 92507 Rueil-Malmaison cedex - Tl.: 01 78 15 34 00 - Fax : 01 78 15 33 90 2010 Global Knowledge Training LLC.

DITORIALLa scurit de la tlphonie VoIP

D

urant cette pleine priode de vacances et de repos, commenons ce numro par le dossier ddi la scurit de la tlphonie VoIP. En effet, nous sommes nombreux utiliser et profiter des avantages de la communication tlphonique via les rseaux. Lauteur de larticle sur Asterisk vous expliquera les vulnrabilits du protocole ToIP, les mthodes dattaques et, surtout, de bonnes mesures de prvention. Vous dvouvrirez le fonctionnement dAsterisk, solution Open Source qui a dj fait ses preuves. Une panne de rseaux informatiques risque de coter cher toute entreprise et risque dtre lourde en consquences. Dans la section Pratique, dcouvrez larticle Supervisez votre rseau grce Nagios qui vous expliquera comment superviser vos parcs informatiques. Dans la section Attaque, nous vous invitions lire larticle sur une technique que les pirates utilisent pour influencer ou manipuler les utilisateurs afin de leur soutirer de largent. Tout cela grce aux mdias sociaux. Un article que les passionns de sites de rseaux sociaux ne manqueront pas. Utiliser un servuer mandataire nous protge-t-il contre tous les riques sur la Toile ? Dans larticle Serveurs mandataires, comment les utiliser ?, vous aurez loccasion de connatre les diffrents types de serveur mandataire dans la scurit informatique. Vous apprendrez galement les utiliser. Bonne lecture tous, Lquipe Hakin9

Le mensuel hakin9 est publi par Software Press Sp. z o. o. SK

Publicit : [email protected] (c) 2009 Software Press Sp. z o. o. SK, tous les droits rservs Bta-testeurs : Didier Sicchia, Pierre Louvet, Anthony Marchetti, Rgis Senet, Paul Amar, Julien Smyczynski, Gregory Vernon, Latorre Christophe, Timote Neullas Les personnes intresses par la coopration sont invites nous contacter : [email protected] Adresse de correspondance : Software Press Sp. z o. o. SK Bokserska 1, 02-682 Varsovie, Pologne Tl. +48 22 427 32 87, Fax. +48 22 244 24 59 www.hakin9.org

AVERTISSEMENT Les techniques prsentes dans les articles ne peuvent tre utilises quau sein des rseaux internes. La rdaction du magazine nest pas responsable de lutilisation incorrecte des techniques prsentes. Lutilisation des techniques prsentes peut provoquer la perte des donnes !

Prsident de Software Press Sp. z o. o. SK: Pawe Marciniak Directrice de la publication: Ewa Lozowicka Rdactrice en chef: Aneta Mazur [email protected] Fabrication: Andrzej Kuca [email protected] DTP : Przemysaw Banasiewicz Couverture : Agnieszka Marchocka

3/2010 HAKIN9

3

7/2010

TABLE DES MATIERES NewsRubrique tenue par Paul Amar 6

DOssIeR

ASTERISK et les techniques de hack de la tlphonie sur IP ! 8

David Hur Asterisk est une solution Open source innovante qui a fait ses preuves ! Aujourdhui, utilis par des particuliers comme de grandes entreprises et possdant un rel potentiel dvolution, Asterisk apporte un nouveau souffle la ToIP.

sCURIT RseAUXServeurs mandataires. Comment les utiliser ? 16Paul Amar sintresser larchitecture de son propre rseau ou celui dune entreprise ncessite de faire de nombreux choix quant linfrastructure. A travers cet article, vous allez dcouvrir le principe des diffrents types de serveur mandataire dans la scurit informatique.

Connexion scurise grce SSH 22

Rgis Senet Protgez vos communications de lensemble des actes de piratage en chiffrant vos donnes ! Grce cet article, vous allez apprendre comment mettre en place le protocole scuris pour les communications distantes. en effet, nous ne pouvons pas savoir qui nous coute chaque instant dans limmensit de linternet. Il est donc temps de remplacer tous ces protocoles et de possder vos accs ssH.

Supervisez votre rseau grce Nagios II partie 38

Rgis Senet Cet article constitue la II me partie de larticle ddi la supervision du rseau grce Nagios. Dans cette partie, nous allons nous concentrer sur le logiciel Cacti. Aprs la supervision des machines windows, nous allons voir galement celle des machines GNU/Linux.

PRATIQUe

Supervisez votre rseau grce Nagios 28

ATTAQUe

Rgis Senet Les rseaux informatiques sont devenus indispensables au bon fonctionnement gnral de nombreuses entreprises et administrations. Tout problme ou panne risque davoir de lourdes consquences tant financires quorganisationnelles. La supervision des parcs informatiques est alors ncessaire et indispensable. Dcouvrez comment superviser votre rseau informatique grce Nagios.

Les attaques > du Social Engineering 46

Tim Kalp Un evil Twin utilise un ensemble de techniques pour faire croire quil sagit dun utilisateur de confiance tout en recueillant des informations sur sa victime. Nous verrons dans cet article comment, grce auxevil Twin, certains pirates parviennent utiliser les mdias sociaux contre nous, contre des employs ou les membres dune famille.

7/2010

ACTUALITS

Youtube, une faille XSS dcele

Une vulnrabilit de type XSS a t exploite sur le site Youtube aux alentours du 5 juillet 2010. Google a patch la vulnrabilit au plus vite, vitant ainsi au vecteur dattaque de crer de nombreux dgts. Cette exploitation de faille sest faite juste aprs la fte nationale des Etats-Unis. Cest peut-tre une simple concidence mais de nombreux pirates jouent sur les ftes nationales etc. pour ainsi esprer une dure de vie plus longue de la vulnrabilit : les effectifs tant moins nombreux, le patch sera plus long arriver. Rappelons-nous, par exemple, le cas avec Twitter, lanne dernire la priode de Pques, etc. Concernant laspect technique de la vulnrabilit, si nous tentions dinsrer des balises HTML, seule la premire tait filtre. Ds lors, il suffisait dentrer pour que la deuxime balise soit excute car mal filtre. Lattaque na pas eu de grave rpercutions et na servi qu insrer des messages au sujet de la mort fictive de Justin Bieber (chanteur canadien) ainsi que certaines redirections. En revanche, les risques dune XSS sont laffichage de nombreux messages, la rcupration des cookies et ainsi tromper la majorit des internautes.

une machine distante. Cet add-on a t upload le 6 juin et la compagnie dnombre ce jour prs de 3300 utilisateurs de ce logiciel malveillant. Le code de ladd-on navait pas t vrifi mais seulement scann la recherche dun quelconque virus. Seul un comportement anormal de ladd-on est dtect en analysant le code. Mozilla, aux aguets depuis ces derniers temps, a dcel un autre add-on nomm CoolPreviews dont le code contient une vulnrabilit permettant une personne mal intentionne dexcuter du code distance et ainsi avoir la main sur la victime infecte par cet add-on. Ds lors, prs de 177 000 ont la version de CoolPreviews installe. Cest donc un vecteur dattaque qui nest en aucun cas ngliger et qui risque de faire de nombreux dgts tout en nuisant limage du navigateur.

Un ancien employ du MI6, coupable de fuites dinformations

Mozilla a augment la rcompense donne aux chercheurs en scurit informatique qui trouveraient des bugs dans le navigateur internet Mozilla firefox. La valeur de la prime est de 3 000 $. Ce systme cherche valoriser le travail des chercheurs en scurit, afin de promouvoir le ct lucratif que les bugs trouvs apporteraient et, ainsi, pallier le problme de fulldisclosure (soit divulguer la faille sur internet). Cette initiative a t lance dbut 2004 et semble tre suivie par bon nombre de personnes. Cependant, le bug doit avoir certaines particularits notamment ne pas avoir dj t report, tre de type remote exploit et dans la dernire version du logiciel. En parallle, dautres compagnies ont suivi le mme mouvement, comme Google, avec une prime 1337 $, ce qui en fera sourire certains car signifie leet soit lite. Information de dernire minute : Google vient daugmenter la prime 3113,7 $...

Avis aux dtenteurs de vulnrabilits sur les navigateurs Mozilla / Chrome

Daniel Houghton, 25 ans, a t au cur de lactualit au cours des dernires semaines. Il a travaill de 2007 2009 dans les services de renseignement du Royaume-Uni. Il tait rattach au MI6 en charge de la protection du pays contre des attaques terroristes etc. Fin 2009, Daniel Houghton a dcid de dmissionner, emportant avec lui de nombreuses informations susceptibles de se rvler trs intressantes aux yeux de personnes cherchant nuire au Royaume-Uni. Il a t accus, il y a quelques semaines, davoir voulu dvoiler, contre de largent, des informations classes confidentielles dont une liste de prs de 700 membres appartenant aux services de renseignements etc.

Un add-on Mozilla qui rcupre vos mots de passe...

De nombreux add-ons au navigateur Internet Firefox ont paru il y a quelques jours, dont le Mozilla Sniffer servant intercepter les logins, passwords et donnes soumis nimporte quel site, les envoyant par la suite

7/2010

ACTUALITS

Daniel avait cherch vendre ces informations aux services de renseignements allemands, demandant prs de 2 millions de . Finalement, aprs de nombreuses ngociations, il a baiss le prix 900 000 . La transaction devait tre ralise Londres, mais Daniel a t arrt juste avant, niant les faits. Depuis, il a plaid coupable. Le jugement aura lieu le 3 septembre ; en attendant, de nombreuses investigations continuent. Le 7 juillet aura t une date noire pour Skype : cest cette date que Sean ONeil a publi, laide dune quipe de reverse engineers , lalgorithme dencryptage de Skype. Cet algorithme tait tenu secret par lquipe de Skype. Or, maintenant, il est rvl au grand jour. Sean ONeil explique sur son blog (article qui peut tre visualis grce au cache de Google, car supprim de son blog) que son code avait t vol il y a quelques mois, tait utilis par des pirates informatiques, ralisant du spam etc. Ds lors, Skype tait remont jusqu lui, laccusant de jouer un rle prdominant avec les spammers etc. Quant lui, pour se justifier, il propose du code en C, tout en argumentant son acte : il souhaite rendre Skype plus scuris.

ce qui aurait provoqu un incident majeur sur toute cette communaut.

Des problmes pour le FBI et lencryptage de plusieurs disques durs...

Skype, le secret rvl au grand jour

En juillet 2008, la police avait saisi 5 disques durs appartenant un banquier brsilien, Daniel Dantas, souponn de nombreux crimes. Les autorits brsiliennes ont constat que les donnes taient chiffres. De nombreuses analyses ont rvl que les fichiers avaient t encrypts laide de deux algorithmes dont TrueCrypt et un autre non identifi (certainement fond sur 256-bit AES). De plus, il nexiste pas (comme au Royaume-Uni, par exemple) de loi forant lutilisateur donner sa cl de cryptage. Malgr un an dtudes et de tests, le FBI na pas russi casser le systme. En consquence, sans les preuves informatiques des fraudes financires, les enquteurs auront des difficults poursuivre DANTAS. Les prochains mois nous permettront dy voir un peu plus clair ce sujet tout en suivant laffaire.

Cracking de password, une nouvelle dcouverte surprenante !

Quand les Hackers rencontrent les pirates ...

Le fameux site de partage de fichiers a t victime dun groupe de chercheurs argentins, sous la direction de Ch Russo. Ils ont russi accder linterface dadministration du site grce de nombreuses vulnrabilits telles que des SQL Injection, .. Ds lors, ils ont pu avoir accs la base de donnes, qui recensait prs de 4 millions dutilisateurs. 4 millions dutilisateurs reprsentent un nombre trs important, surtout pour lune des plates-formes les plus connues et les plus mdiatises, vu le nombre de procs auxquels ses dirigeants ont d faire face. Ces informations sont une vritable mine dor pour les personnes cherchant mettre la main sur les utilisateurs pratiquant le tlchargement. Les chercheurs argentins pouvaient raliser de nombreuses interactions comme, par exemple, crer / supprimer / modifier / ou encore, voir les informations sur les utilisateurs, incluant tous leurs torrents Russo a expliqu dans un communiqu que lui et ses associs nont ni altr ni supprim une quelconque information dans la base de donnes. Paralllement, il a assur quil ne vendrait aucune information rcupre lors de cette intrusion. Il souhaitait seulement dmontrer que les informations des membres ntaient pas bien protges et quil tait tout fait possible de les rcuprer. Heureusement, ces informations ne soient pas tombes dans de mauvaises mains,

Les chercheurs Nate Lawson et Taylor Nelson prtendent avoir dcouvert une faille de scurit qui affecte de nombreux systmes dauthentification tels que Oauth ou encore OpenID. Ces systmes sont trs fortement utiliss sur des sites tels que Twitter, Les cryptographes sont informs des attaques dites temporelles depuis de nombreuses annes mais nont jamais pris la menace trs au srieux car elle semblait trop difficile mettre en place sur un rseau (problmes de latence, etc.. ) puisque cette attaque est fonde sur le temps. Larticle prsente un cas intressant : certains systmes vrifient que le login / password correspond chaque nouvelle insertion de caractre. Ds lors, les chercheurs en arrivent la conclusion quun mauvais essai de login arrive plus vite quun login o le premier caractre du login est bon. (Le systme renvoie un mauvais login ds quil dtecte un mauvais caractre). Grce ce facteur de temps , il est possible de deviner un mot de passe et ainsi contourner les systmes dauthentification. Nate et Taylor souhaitent discuter de ces attaques la Black Hat confrence qui se tiendra fin aot Las Vegas. Dautres articles ou documentations nous en diront certainement plus sur lexploitation dattaque de type temporelle . News rdigs par Paul AMAR.

hakin9.org/fr

7

DOSSIER

ASTERISK et les techniques de hack de la tlphonie sur IP !David HurAsterisk est une solution Open Source innovante qui a fait ses preuves ! Historiquement conu par un tudiant en 1999, Mark Spencer avait un rve, il souhaitait dmocratiser la tlphonie sur IP et concurrencer les plus grands ! Aujourdhui, utilis par des particuliers comme de grandes entreprises et possdant un rel potentiel dvolution, Asterisk apporte un nouveau souffle la ToIPCet article explique Les fondamentaux dAsterisk Comment exploiter les vulnrabilits protocolaires de la ToIP Les mthodes dattaques et les outils Les bonnes pratiques pour se protger

Ce quil faut savoir Notion de rseau et des protocoles Notion de ToIP

e monde de la tlphonie est plus que jamais en volution ces dernires annes. En effet, aprs le passage de la tlphonie traditionnelle vers la VoIP (voix sur rseau IP), un grand nombre dacteurs plus ou moins historiques proposent maintenant des solutions apportant des services valeurs ajoutes. Alcatel fait toujours partie des leaders du march, mme sil a perdu des parts non ngligeables sur ce march, dautres ont russi exploiter davantage lIP comme Cisco, Avaya, Mitel ou encore un autre quil nest plus ncessaire de prsenter, Asterisk sous toutes ses formes Il y a encore 5 ans, Asterisk reprsentait ~0,2 % de parts de march puis, en quelques annes, prs de 4%, et maintenant, il atteint prs de 7% du march mondial en 2010. Certains oprateurs utilisent mme un noyau Asterisk pour leurs offres Centrex et ont minima valid lAsterisk V1.4 et/ou V1.6 pour leurs solutions TrunkSIP . Asterisk bnficie maintenant dune rsonance toute particulire, mme aux yeux des grandes entreprises ! Autant dire que la communaut Asterisk est comparable aux autres communauts telles que Squid, MySQL, Apache quelle se porte bien et a encore de beaux jours devant elle ! Ce succs est principalement d au caractre Open Source dAsterisk et une certaine maturit technologique qui lui permet, maintenant, dtre aussi fiable et performant que les solutions leader. De plus, lensemble des fonctionnalits proposes stoffent chaque version,

L

tel point quaujourdhui, Asterisk possde des fonctions qui ne sont pas aux catalogues des grands constructeurs et surtout adaptables sur mesure votre environnement afin de linterfacer dans des systmes dinformations complexes. La flexibilit dAsterisk est un atout majeur face aux autres solutions packages ! Asterisk permet notamment, en plus de tous les services dit classiques , de mettre en place des services tels que : softphone, voicemail, MEVO, PoPC, statistique (CDR), call center, Fax-mail, interface spcifique, IVR, Confrence, provisionning automatique, SMS, passerelle mobile, enregistrement, text-To-Speech, ACD, Ldap, taxation, CRM, supervision, annuaire, reconnaissance du numro depuis lextrieur, gestion de Prsence, des files dattentes, messagerie instantane, couplage avec Wifi et DECT IP, couplage avec visioconfrence, le chuchotement, CTI, T9, annuaire unifi, musique dattente Cependant, la ToIP/VoIP souffre encore dune mauvaise image dun point de vue scuritEn effet, les rseaux voix historiquement isols, fusionnent de plus en plus avec les rseaux de donnes, ils sont donc plus sensibles aux attaques dun piratage. Les impacts peuvent tre variables, confidentialit, dysfonctionnements, usurpations, coute, changements des annonces de lIPbx, accs aux messageries vocales, contournement de la politique de scurit DATA (backdoors), perte financire, etc alors quil existe un ensemble de solutions qui permettent de maitriser la scurit de son systme de tlphonie sur IP.7/2010

ASTERISK et les techniques de hack de la tlphonie sur IP !

Dans certaines actualits, beaucoup ont entendu parler des enregistrements de laffaire Bettencourt ou encore, ont lu avec stupfaction que certains oprateurs trangers nhsitaient pas pirater des entreprises dautres pays afin de mettre en place des peering de masse leur permettant de revendre des milliers de minutes par mois pour lusage de leurs clients Dautre part, moins prsente en France, larnaque aux numros surtaxs et l'usurpation d'identit, le procd est simple, il consiste appeler une personne en modifiant le numro dappelant par celui de quelquun dautre ; peu doprateurs contrlent ce type dexerciceetcecontrleestrenduquasiimpossibledansle cas dune communication VoIP internet Une autre arnaque porte sur la modification de la synthse vocale afin de se faire passer pour quelquun dautre par le biais dun simple outil de modulation de frquence vocale, outil de plus en plus volu et qui permet, par exemple, de transformer la voix dune femme en celle d'un homme ! Les IPBX entreprise actuellement sur le march ne sont pas quips aujourdhui de mcanisme de contrle de conformit de la voix mais il est possible, dans le cadre daffaires judiciaires, de vrifier si une voix a t ou non modifi dans un enregistrement. A ce sujet dailleurs, seuls les oprateurs sont contraints, par commissions rogatoires dlivres par les services judiciaires, mettre en place des coutes tlphoniques. Certaines techniques dinterception lgale de trafic se standardisent mme au niveau international comme le Lawful interception de la Communications Assistance for Law Enforcement Act (CALEA ou ETSI) Cependant, ne soyons pas alarmiste, ce type dattaque ncessite une expertise et chacun, son niveau, dispose de moyens plus ou moins volus de se protger avec des niveaux de scurit trs satisfaisants ou,

au moins, quivalents celui des anciens systmes de tlphonie traditionnels ! Nous allons en dtailler certains dentre eux, en commenant par la scurit de lOS qui supporte votre IPBX, gnralement sous noyau Linux, il existe deux coles. Il y a ceux qui optimisent intgralement lOS utilis, technique trs efficace et bnficie davantages indniables comme les performances, la scurit optimale, la stabilit accrue et rpondent des besoins spcifiques, voire industriels. Cependant, cette technique ncessite des comptences avances. En effet, partir dun LFS Linux from scratch et compiler uniquement les modules, drivers et paquets ncessaires afin doptimiser intgralement le noyau nest pas donn tous, cela reste manuel, long et complexe et, de plus, aucun suivi de version nest applicable automatiquement. Il faut mettre en place sa propre gestion des dpendances De lautre ct, il y a ceux qui souhaitent mettre en place simplement et rapidement un systme de base (Debian, CentOs, Red Hate) ou, mieux, utilisent des variantes comme le mode Hardened (HLFS) afin de renforcer nettement le niveau de scurit. Ce mode intgre nativement des mcanismes de scurit sur la pile IP de lOS, limite lexcution des binaires, des scripts et autres attaques et n'utilise que les drivers ncessaires coupls uniquement aux services activs par ladministrateur et utiles la ToIP comme par exemple, le WEB, DHCP, NTP, TFTP, lAsterisk, le Manager Asterisk, SSH, relay mail En rsum, la plupart des personnes concernes utilisent simplement un systme de base et se dirigent vers un Hardened lorsquelles sont sensibles la scurit. Le LSF est gnralement rserv au Geek , aux constructeurs et/ou diteurs. Dans un autre registre, le paramtrage dAsterisk joue un rle essentiel dans la scurit de la solution de t-

Nombre total de vulnrabilits de la voix sur IP

60 50 40 30 20 10 02002 2003 2004 2005 2006 2007 2008

Figure 1. Hausse rapide des vulnrabilits depuis 2006 (source: NVD)

hakin9.org/fr

9

DOSSIER

lphonie sur IP. En effet, lAsterisk est un service fond sur un ensemble de fichiers de configuration en commenant par le SIP.conf permettant de configurer les comptes SIP utilisateurs (SDA, nombre dappels simultans max, Nom Prnom), les contextes auxquels ils sont rattachs, les CODEC utiliser, la gestion des droits dappels cest ce fichier qui, par exemple, vous autorise ou non appeler un 06, 08, linternationalet liste les services de ToIP que vous pourrez utiliser (double appel, conf call, voicemail). De plus, le fichier extension.conf permet dtablir un dial plan, dautres types de contextes (interne/externe), des macros, la gestion des renvois pour autoriser ou non un renvoi vers 06 ou 08. Une partie de la scurit du service Asterisk s'appuie, entre autres, sur le manager.conf . Ce fichier reprsente ladministration du noyau Asterisk (Figure 2 : manager Asterisk ).. Une des bonnes pratiques consiste crer uniquement un compte super Administrateur et bien paramtrer le niveau de droit des utilisateurs lambda (users) et des autres administrateurs dlgus (Originate). Voici la synthse des lments paramtrables via le manager . Nb : Il est, entre autres, recommand dutiliser le SSH et dactiver le mode de connexion SSL linterface WEB du manager ou simplement de la dsactiver. LAsterisk s'appuie aussi sur dautres fichiers de configuration comme le CDR.conf pour la gestion et le paramtrage des logs du call flowle fichier CDR.manager.conf , le H323.conf , iax.conf , queues.conf , etc Gnralement et de plus en plus, les utilisateurs comme les administrateurs sont friands dutiliser une interface WEB (surcouche dadministration) pour le paramtrage et ladministration de lAsterisk et de ses services. Elle doit bnficier de diffrents niveaux de scurit. A minima, trois niveaux par exemple Root , Admin , utilisateur qui permet dautoriser ou pas certaines modifications (ex : modification

adresse mail, SDA, plan de SDA, renvoi, supervision) sans passer directement par les fichiers de configuration dAsterisk. Il est aussi important de slectionner le bon driver TAPI pour les postes de travail et le click to dial par exemple, afin de ne pas tre oblig doctroyer des droits supplmentaires sur le manager un utilisateur lorsquil tente dutiliser cette fonction. (De plus, si quelquun coute les flux ou utilise un sniffer, il a de grandes chances de rcuprer le mot de passe administrateur du manageril est donc prfrable dutiliser le mode originate ) Dautre part, le mode dauthentification des tlphones IP reste somme toute assez basique, puisque certains flux sont en clairs et puisque le challenge est ralis avec un hash simple en "MD5" et pas de chiffrement Ce qui renforce limportance de la politique de mot de passe. Pour finir, les nouvelles releases en test bnficient dj de certaines rponses (V1.6.2) et davances en matire de scurit comme le support TLS pour le SRTP, le renforcement de certains mcanismes de scurit ou encore le support du T140 pour les messages texte, le support du SS7 dans DAHDI, lamlioration des CDR, de la gestion du Dial Plan, du MeetMe , des files dattente, des nouvelles fonctions SIP et bien dautres

Les problmes protocolaires

La ToIP est maintenant une partie intgrante des rseaux LAN (voir la rubrique sites web), elle est donc soumise un ensemble de problmatiques purement rseau dont voici quelques exemples quelques soit les constructeurs Le Dni de service (DoS) sur VoIP qui consiste lancer une multitude de requtes, flooding SIP , TCP syn ou UDP , (par exemple, demandes denregistrement et d'appels) jusqu' saturation des services VoIP. Ces types d'attaques ciblent souvent les serveurs, les passerelles, les proxy ou encore les tlphones IP qui voient leurs ressources sont rapidement puises par ces requtes dont lobjectif est de perturber voire mettre hors service le systme cibl. Une autre attaque galement rpandue consiste envoyer des commandes BYE au tlphone afin de mettre fin la conversation en cours La manipulation du contenu multimdia et des signaux est une attaque qui permet dinjecter un fichier son dans un flux RTP par le biais dune attaque RTP Insertsound . Attaque par relecture ou Dtournement d'enregistrement de sessions autorises obtenues grce une analyse de trame par un sniffer sur le rseau ou par interception de trafic. Cette atta7/2010

Figure 2. manager Asterisk

10

ASTERISK et les techniques de hack de la tlphonie sur IP !

que se droule au niveau du protocole SIP, elle utilise la commande Register qui sert localiser un utilisateur par rapport son adresse IP. Le pirate peut alors rejouer ces sessions de register valide en modifiant uniquement ladresse IP de destination en sa faveurCette attaque est due au fait que le protocole SIP transite une partie des informations en clair, il est donc possible de mettre en place du SIPS qui intgre des mcanismes dauthentification et assure lintgrit des donnes. Le Man in the Middle (figure 3 : exemple dchange protocolaire) (MITM) est une des attaques les plus connues ; elle permet lassaillant de se positionner entre le client et le serveur afin dintercepter les flux cibls qui sont changs. Le pirate usurpe alors ladresse MAC (spoof MAC) de ces 2 parties par lempoisonnement du cache ARP des switches (ex: Ettercap + plugin chk_poisoning ) afin dtre transparent dans ces changes. Les donnes transitent alors au travers du systme pirate. Dans le cas de la ToIP cette technique est utilise pour lEavesdropping ( Oreille indiscr-

te ) lui permettant ainsi dcouter et denregistrer les conversations entre les interlocuteurs mais aussi de rcuprer un ensemble dinformations confidentielles. cette technique est aussi utilise pour dautres protocoles (SSL, DNS, SSH) Le switch jamming (figure 4 : ARP spoofing attaques) est une attaque qui consiste saturer le plus rapidement possible les tables de commutation dun commutateur avec des milliers de paquets contenant de fausses adresses MAC (flooding MAC) dans le but de le transformer en mode rpteur (HUB) afin que toutes les trames soient en diffusion (broadcast) continue sur tous les ports. Nb : cette attaque ne fonctionne pas avec tous les commutateurs et elle est gnralement peu discrte La dviation par un paquet ICMP consiste utiliser un gnrateur de paquet du type frameip.exe (disponible sur internet) et forger ses propres paquets ICMP de dviation (type 5) destination du client afin de lui indiquer que la route utilise nest pas optimale et lui communiquer par la mme occa-

Client

Attacker

Server

Alice INVITE

Proxy 1

Proxy 2

Bob

INVITE Trying Trying Ringing Ringing

INViTE Ringing

OK OK OK

AC K Communication multimdia BYE OK

Figure 3. exemple dchange protocolaire

hakin9.org/fr

11

DOSSIER

sion la nouvelle route qui permettra de rediriger les flux vers un hte pirate qui ferait office de passerelle. Lobjectif de cette attaque est multiple : coute, enregistrement (comme pour MITM), DoS Il est important de noter que cette attaque ne permet pas de rediriger le trafic d'une connexion entre deux machines du mme rseau local (mme plan adresse IP) puisque le trafic chang ne passe pas par une passerelle. VLAN Hopping consiste dcouvrir le N de VLAN attribu la ToIP (en rcuprant la VLAN Database, utilisation dun snifer) dans un environnement LAN et de marquer des trames Ethernet directement dans ce VLAN en forgeant ses propres trames. Cette technique permet de saffranchir dune partie de la scurit associe aux VLANs (label spoofing) Dans certains cas, un simple brute force sur le serveur TFTP officiel permet de tlcharger la configuration complte dun quipement et dapprendre un certain nombre dlments En SIP, les quipements bnficient dune relle intelligence embarque contrairement aux MGCP par exemple il est donc possible de demander un tlphone dafficher lors dun appel son destinataire un numro de tlphone diffrent du sien. En interne, cela na que peu deffet. Pourtant, une personne pourrait prtendre appeler depuis le centre de scurit ou le bureau du directeur et demander lexcution dactions particulires par exemple. De lextrieur, tre discret, se faire passer pour quelquun autre, ou encore afficher systmatiquement pour tous les appels sortants, un numro tiers pirate (modification sur passerelle ou IPbx). Lorsque les destinataires tenteront de recontacter leurs collgues et/ou partenaires en faisant BIS ou rappeler dans lhistorique des appels, ils tomberont systmatiquement sur le numro (payant)quitaitaffich(ex:1,4parappel).

Ports gnralement utiliss en ToIPTFTP MGCP LDAP Backhaul (MGCP) Tapi/Jtapi http SSL SCCP Skinny SNMP SNMP Trap DNS SIP SIP/TLS H.323 RAS H.323 H.225 H.323 H.245 H.323 Gatekeeper Discovery RTP NTP

UDP 69 UDP 2427 TCP 389 UDP 2428 TCP 2748 TCP 8080/80 TCP 443 TCP 3224 TCP 2000-2002 UDP 161 UDP 162 UDP 53 TCP 5060 TCP 5061 TCP 1719 TCP 1720 TCP 11000-11999 UDP 1718 16384-32767 UDP 123

Ensuite, au niveau des applications Aprs avoir amlior la scurit sur vos rseaux et vos protocoles, il reste nanmoins dautres points noirs comme les interfaces graphiques des IPbx, lusage du mode HTTPS nest pas forc, voire non activ ! De plus, au niveau des stations de travail, lauthentification aux pages dadministrations de lIPbx et/ou des interfaces utilisateurs peut tre couple des cookies ou du NTLM qui ne sont pas forcement un gage de scurit... et encore moins quand lutilisateur demande son navigateur de garder les mots de passe en mmoire Dautre part, il existe un nombre de failles et/ou de vulnrabilits non ngligeable directement sur

Utilisateur 1

Utilisateur 2

>

Ethernet Switch

>

>

Attaquant >

Figure 4. ARP spoofing attaques

12

7/2010

ASTERISK et les techniques de hack de la tlphonie sur IP !

les interfaces des IPbx, excution force de script comme le cross site scripting ou autres, la falsification des requtes inter-sites, injections de donnes Plus simplement, par dfaut, les quipements ToIP bnficient de services standard activs (ex : telnet ouvert, port SNMP et read/write avec community name par dfaut, interface Web de configuration de lquipement permettant la modification de la configuration en http, rcupration dinformations directes, statistiques, reboot distance, port de troubleshooting, authentification basique, Services echo et time ouverts) Toutes ces inattentions sur les quipements facilitent souvent les actions d'une personne mal intentionne

Quelques techniques utilises par les pirates

Gnralement, un simple Snifer sur votre LAN permettra un pirate de rcuprer une multitude dinformations telles que les protocoles utiliss sur votre rseau, (CDP, STP, DNS, DHCP, LDAP, MAPI) et dobtenir des renseignements sur votre plan adressage IP, vos VLANs, codecs utiliss, utilisateurs, login, mot de passe, dcouverte de vos infrastructures, de la topologie, la marque des quipements, les IOS, vos serveurs, leurs OS et versions, version des applications Le fuzzing est une mthode permettant de tester les logiciels et de mettre en vidence des dysfonctionnements potentiels, afin de constater la raction du systme lorsqu'il reoit de fausses informations. Cette mthode utilise un certain nombre doutils de scurit utiliss notamment lors daudits, mais certaines personnes mal intentionnes sen servent dans le but de trouver et exploiter des failles (compte administrateur, augmentation des dlais, DOS, coute). Spam VoIP ou SPIT (Spam Over Internet Telephony) - le SPIT est, comme son nom lindique, un SPAM dont l'objectif est la diffusion d'un message publicitaire en initiant et/ou relayant un maximum dappels laide de Bots destination de millions d'utilisateurs VoIP depuis le systme compromis. Cette technique a de multiples consquences, comme la saturation du systme, des MEVO, des communications simultanes Une utilisation dtourne du SPIT consiste aussi initier un maximum dappels destination de N surtaxs dans le but denrichir des organisations malveillantes Vishing (Voice Phishing) Cette technique est comparable au phishing traditionnel, dans le but dinciter des utilisateurs divulguer des donnes confidentielles, voire sensibles (par exemple : noms d'utilisateur, mots de passe et ou numros de compte, N de scurit sociale, code bancaire, adresses, coordonnes). Dans notre cas, cest un

SPIT qui diffuse un message demandant aux utilisateurs dappeler un numro spcifique pour vrifier les informations en questions et il ne reste plus qu attendre que le tlphone sonne . Aprs avoir rcupr ces donnes, le pirate les utilise ou les vend des tiers ! Vol d'adresses lectroniques Lusage du Voicemail se multipliant, chaque utilisateur ou presque bnficie dune adresse de messagerie lectronique associe, cette attaque consiste bombarder le serveur de voicemail du domaine ToIP avec des milliers dadresses mail de test (ex : nom. [email protected] / [email protected] / nom@ client.com...). Chaque adresse non valide est retourne, pour le reste, lattaquant peut ainsi en dduire un certain nombre dadresses mail valides quil pourra alors utiliser sa guise pour dautres attaques (SPIT, Vishing, SPAM mail). Dtournement de trafic ou Phreaking , est une mthode historique ds les dbuts de la tlphonie, elle consiste ne pas payer les communications et rester anonyme. En ToIP, ce dtournement s' effectue aprs rcupration d'un couple login/pass valide ou aprs accs physique d'un utilisateur non autoris un tlphone. Les pionniers du Phreaking (Cf figure 5). Imaginons maintenant que le pirate ait russi (par diffrents moyens) obtenir un login aux droits suffisants pour modifier la configuration de votre Ipbx. Il peut alors paramtrer un Trunck destination dun autre IPbx et organiser la revente de minutes par dizaines de milliers dans un autre pays en utilisant le mme concept.

Exemple de quelques outils

SIPtap, Wireshark, VOMIT (Voice Over Misconfigured Internet Telephones), VoIPong, NESUS, nmap, troyens divers, UCSniff (ARP Saver, VLAN Hopping), Digitask pour skype, SIVUS, Teardown, Cain, Backtrack, Dsniff, YLTI, scapy, SIPcrack

Figure 5. accs physique d'un utilisateur non autoris un tlphone

hakin9.org/fr

13

DOSSIER

Quelques exemples de bonne pratique et de solutions

Rassurez-vous, il existe un ensemble de techniques pour contrer ces attaques . Cependant, il est conseill de faire appel des experts qui vous accompagneront dans cette dmarche et seront pdagogues. Le risque ZERO nexiste pas, gnralement, en matire de scurit, il est assez simple de mettre en place un niveau de scurit de lordre de 70% 80% de protection contre les attaques, qui reprsente le premier palier de scurit bien suffisant pour une entreprise lambda. Toujours simple, mais cette fois-ci, cela ncessite un investissement afin datteindre les 85% 90% de scurit pour une entreprise. Ensuite, dpasser les 90%95%devientpluscompliquetncessiteune expertise et des investissements lourds. Pourtant, ce niveau de scurit est primordial pour une banque, une assurance, ou encore, les grandes industries dont le chiffre daffaires dpend en majorit de la stabilit de leurs systmes dinformations, de tlphonies (centre dappel) Il existe enfin un niveau ultime de scurit, aux niveaux gouvernemental, arospatial, renseignements, services spciaux, armesqui doit atteindre au minimum les 99%. Non seulement ce niveau requiert des infrastructures consquentes mais galement une relle expertise 24/7. Pour en revenir notre focus sur la scurit de la tlphonie sur IP, il est important de mener la rflexion scurit en amont en phase de design de l'architecture de ToIP. Lamlioration des niveaux de scurit passe, entre autres, par le respect de bonnes pratiques et lapplication de solutions efficaces dont en voici quelques exemples : Mettre en place une relle politique de Mot de passe dj difficilement gre pour les comptes des stations de travail et encore moins pour les comptes de tlphonie sur IP (complexit, dure de validit, longueur mini) Mettre en place des VLAN et/ou VRF ddie ainsi quune solution de supervision/monitoring de vos infrastructures LAN/WAN et Voix afin de cloisonner vos rseaux et de bnficier dindicateurs spcifiques Intgrer aux tableaux de bord scurit des systmes dinformations (TBSSI)

Des solutions existent en matire de dtection dattaque (IDS/IPS) et/ou de modification suspicieuse sur le protocole ARP avec Arpwatch ou snort , ou mcanisme basique dans le monde du switching comme le port security qui limite le nombre dadresses MAC utilisables par port, ou encore du 802.1x Implmenter des pare-feux Statefull nouvelle gnration avec une reconnaissance protocolaire plus avance (ADN applicatif) Scurisation des protocoles SIP et RTP par lutilisation de PKI (Public Key Infrastructure) et la mise en place du SIPS , SRTP , SRTCP utilisant le DTLS RFC 4347 Limiter les accs aux personnes non autorises (contrle daccs), ne pas autoriser les prestataires se connecter au LAN, ni WIFI (hors guets), toujours tre prsent en salle serveurs lors dintervention et tracer les accs aux zones critiques. Suppression des anciens comptes et/ou inutiles, suppression des logiciels ou modules inutiles sur lIPbx et les stations de travail. Matrise et limitation des softphones Mettre en pratique la surveillance et lexploitation des logs dinfrastructures Dautre part, larchitecture physique ou logique du rseau LAN est trs importante. Certains ont pour philosophie de maintenir deux rseaux physiquement spars, dautres sont partisans d'une plus grande flexibilit de mise en place de VLAN Ct WAN, ne jamais exposer son IPBX par une IP Public mme nate , ni en DMZ publique et/ ou directement lextrieur mme un module spcifique cet usage est propos, privilgier le mode VPN SSL ou IPSEC par le biais du firewall. Si ncessaire, envisager lajout de botier de chiffrement matriel. Etc

Sites web

DAVID HUR PROJECT DEPARTMENT MANAGER FRAMEIPResponsable du bureau dtude de FrameIP, passionn et expert en rseau, scurit et tlphonie sur IP, japporte ma contribution et mon retour dexprience dans un esprit de partage. Entre autre, confrencier pour des coles dingnieur et des sminaires technologiques (ToIP, Vido, QoS et optimisation WAN, PCA). [email protected] 7/2010

http://www.frameip.com/voip/ http://www.frameip.com/smartspoofing/ http://www.architoip.com/entete-sip/ http://www.architoip.com/toip-open-source/ http://www.authsecu.com/sniers-reseaux-commutes/sniffers-reseaux-commutes.php http://www.authsecu.com/achage-news/1085-news-securite-les-pare-feux-%22nouvelles%22-generation.htm

14

Scurit rSeaux

Serveurs mandataires comment les utiliser ?Paul amarSintresser larchitecture de son propre rseau ou celui dune entreprise ncessite de faire de nombreux choix quant linfrastructure.

cet article explique... Le principe des diffrents types de serveur mandataire dans la scurit informatique, leurs utilisations.

ce qu'il faut savoir... Notions en rseau, architecture informatique.

B

eaucoup d'objectifs sont demands comme loptimisation, la performance ou la scurit. Les critres sont varis et demandent dtre tudis de faon rigoureuse comme la scurit, par exemple, pour que notre infrastructure ne contienne aucune faille susceptible d'tre exploite par un pirate. Nous verrons ensemble ce que sont les serveurs mandataires, communment appels proxys , et le rle qu'ils jouent dans la scurit. Aprs la prsentation des proxys dits simples et les proxys inverss, nous nous intresserons leur utilisation au sein dun rseau.

Les utilits dun serveur mandataire

Un serveur mandataire ou encore proxy est un serveur qui travaille au niveau application. Il est li un protocole prcis, comme, par exemple, le protocole HTTP. (Protocole utilis pour le Web) Cette fonction du proxy consiste relayer des demandes dinformations dun rseau vers un autre. De faon plus gnrale, le fonction premire dun proxy est le relai des requtes dun poste client vers un poste serveur (le principe-mme de la communication). Le proxy joue un rle dintermdiaire entre cesx deux entits (cf Figure 1). Les deux entits doivent pouvoir communiquer sans problme, sans perte ni altration de donnes. Certains ne voient peut-tre pas encore lutilit dun serveur mandataire, pourtant il assure de nombreuses fonctions telles que :16

Mise en cache dinformations : si certaines informations sont demandes rgulirement (ex : pour une recherche identique et rpte sur Google.fr, la page reste la mme). Un serveur proxy peut garder en cache certaines informations comme la page de Google, et ainsi l'afficher de nouveau au client qui la redemande procurant ainsi un gain rl en performance sur le rseau, car moins de requtes sont envoyes. Logs des requtes : le serveur mandataire peut, chaque nouvelle requte reue la stocker dans des fichiers de logs, conservant ainsi une trace des activits sur le rseau. Cette mthode s'utilise pour centraliser les requtes sur un serveur proxy particulier. (ex: uUniversit qui cherche avoir un log de toutes les requtes faites en son sein) Une entreprise rencontrant des problmes judiciaires pourra toujours se dfendre grce aux logs de ses serveurs (sils nont pas t falsifis) et qui comportent des informations comme : Qui se connecte ? Depuis o ? Que fait la personne ? Son historique peut mme tre conserv. La scurit : supposons un parc informatique dune centaine dordinateurs. Si tous les postes ont accs internet via le serveur proxy, les informations y sont centralises. Dans le cas dun problme au niveau du rseau informatique dpourvu de proxy, chaque ordinateur pourrait accder internet directement ; il faudrait auditer tous les postes pour savoir lequel est dfaillant. Le fait dutiliser un serveur proxy centralise toutes les7/2010

Serveur mandataires

requtes, optimise la gestion du rseau (en utilisant son cache) et en cas de problme, regarder seulement les logs du serveur proxy pour avoir une ide gnrale du problme soulev. Le filtrage : comme indiqu plus tt, centraliser les requtes sur un serveur proxy permet de garder la main sur certaines activits rseau dun usager. Au lieu de mettre des rgles de filtrage tous les postes sur le rseau, les mettre uniquement sur le serveur proxy, il sera alors interrog ds quun des postes souhaitera faire une action spcifique. Il ny a pas de risque de corruption de la machine (contournement des rgles de scurit concernant le filtrage) et toutes les informations sont centralises. Il y a l aussi une meilleure performance concernant la maintenance du parc informatique car sil faut changer certaines rgles, seules celles du serveur proxy devront ltre. Le filtrage peut se faire en fonction de nombreux critres : adresse IP, Paquets, Contenu, par personnes authentifies, (ex : dans une entreprise, faire en sorte que les sites de jeu en ligne etc. soient bannis). Lauthentification : un proxy est indispensable dans la communication des deux entits, si elles sont bien configures. Ds lors, le proxy servira identifier les utilisateurs avec un login / password. Un mauvais login n'aura pas accs aux ressources demandes. Cela ajoute une autre couche non ngligeable de scurit dans notre infrastructure. Un pirate verra ses actions limites jusqu ce quil trouve le couple login / password qui convient.

ladresse http://www.site.com car elle nest pas dans son cache. Elle sera ensuite achemine Pierre qui aura sa page. Si Jean veut accder la page quelques minutes plus tard, la requte arrivera au serveur proxy qui recherchera cette page dans son cache. Dans l'affirmative, il la renverra directement Jean sans passer par le site en question afin dviter la surcharge de requte. Ce systme permet dviter un minimum la congestion dun rseau, rduit lutilisation de la bande passante tout en rduisant le temps daccs (cf Figure 2). Soit les donnes du cache sont stockes dans la RAM (c'est--dire la mmoire vive du serveur), soit elles le sont sur le disque. Il ne faut pas quil garde la page indfiniment mais quil vrifie si, sur le site distant, la page est toujours la mme. (ex : un site dactualit informatique sera diffrent tous les jours (voire toutes les heures), la page dans le cache doit tre change rgulirement). Des serveurs proxy existent pour de multiples services sur internet comme http, FTP, SMTP, IMAP,

Le reverse-proxy

Les diffrents types de serveurs mandataires

Le proxy simple joue le rle dun intermdiaire entre les ordinateurs dun rseau local et Internet. La plupart du temps, nous entendons parler de proxy http ou encore https qui sont les plus courants sur la toile. Ils sont souvent utiliss avec un cache, permettant ainsi dviter une surcharge sur le rseau et daccder plus vite la page. Prenons le cas o Pierre veut accder la page de : http://www.site.com . La requte de Pierre passera par le serveur proxy du rseau local qui cherchera la page

Le reverse proxy, linverse du proxy simple est quil permet aux utilisateurs dinternet daccder des serveurs propres au rseau interne. Ds lors, le terme reverse commence avoir du sens, tant donn quil ralise linverse dun proxy simple. De nombreuses fonctionnalits des reverse proxys se rvlent parfois utiles, comme la protection des serveurs internes contre des attaques directes. Puisque les requtes sont interceptes par le proxy, il est donc en mesure de les analyser et les scuriser si besoin pour viter des problmes de scurit sur le serveur. Le reverse-proxy sert de relais pour les utilisateurs souhaitant accder un serveur interne. Paralllement, le proxy offre des avantages comme la notion de cache qui soulage les charges du/des serveurs internes. La page daccueil dun site Web peut tre garde dans le cache du proxy et ainsi, le trafic vers le serveur Web est allg.

Patrick veut contacter Alice

Le proxy contacte Alice pour Patrick

Patrick Le proxy rebascule la rponde d'Alice

Le serveur mandataire Le serveur mandataire reoit la rponse d'Alice

Alice

Figure 1. Schma thorique dun serveur mandataire simple. hakin9.org/fr17

Scurit rSeaux

De plus, imaginons une infrastructure dans laquelle deux serveurs auraient les mmes fonctionnalits (ex: serveur Web). Le reverse-proxy ferait du load-balancing , c'est--dire de la rpartition de charge concernant les serveurs. Les requtes sont alternes en fonction des deux serveurs vitant ainsi la congestion susceptible de provoquer un dysfonctionnement du serveur comme un dni de service (cf Figure 3). Traitons maintenant des proxys dits SOCKS . SOCK est un protocole rseau ; il permet des applications client/serveur demployer de manire transparente les services dun pare-feu. SOCKS est labrviation de socket et est une sorte de proxy pour les sockets . En soit, les proxys SOCKS ne savent rien du protocole utilis au-dessus (que ce soit du http, ftp, ), cf Figure 4. Certains lauront peut-tre compris, SOCKS est une couche intermdiaire entre la couche applicative et la couche transport (daprs le modle OSI). Ces proxys diffrent du proxy traditionnel qui ne supporte que certains protocoles. Ils sont plus modulables et sont ainsi aptes rpondre des besoins varis. Deux composants sont ncessaires quant lutilisation dun serveur mandataire SOCKS qui sont : Le serveur SOCKS est mis en uvre au niveau de la couche application

autres types de serveurs mandataires

Le client SOCKS est mis en uvre entre les couches application et transport Pour ce qui est du mode de fonctionnement : Lapplication se connecte un proxy SOCKS Le serveur mandataire vrifie la faisabilit de la demande Il transmet la requte au serveur si cest faisable Cependant, il existe dautres types de serveurs mandataires comme les proxys anonymes ou encore les proxys transparents (ou proxys par interception), qui ne seront pas dcrits dans cet article. Nous allons maintenant nous intresser une tude de cas dun reverse-proxy au sein dune entreprise, et son utilisation (dun point de vue scurit) dans lentreprise.

tude de cas au sein dune entreprise

Prenons en exemple une entreprise basique : actuellement, la plupart des compagnies ont leur propre site web afin de prsenter les produits, prestations de services quils offrent. Idalement, cela signifie que leur rseau informatique doit comporter un serveur Web. Imaginons que nous utilisions un reverse-proxy qui permettrait laccs ce serveur Web. Quelle serait lutilit dun tel quipement ? Les fonctionnalits de serveurs mandataires et des reverse-proxy en gnral ont t licits. Le reverse-proxy ncessaire serait utilis pour les protocoles HTTP/HTTPS puisque cest un serveur Web.

Le proxy va alors (si c'est possible) envoyer la requte vers Jean

Pierre veut contacter Jean, il passe par le proxy

La requte arrive Jean

Jean Pierre Le proxy rebascule la rponse de Jean Le serveur mandataire Jean peut alors recommuniquer avec Pierre par l'intermdiare du proxy

Le serveur mandataire reoit la rponse de Jean

La toile

Figure 2. Utilisation dun serveur mandataire simple.

18

7/2010

Nous utiliserions cet quipement pour quil contrle les requtes envoyes en plaant certains filtres afin d'viter des attaques (quelles soient de type XSS, SQL Injection, XSHM, XSRF,). Selon le besoin en bande passante, nous pourrions faire en sorte que le reverse-proxy mette en cache les pages les plus demandes. Cela aurait pour effet de rduire lusage de la bande passante, de ne pas congestionner le rseau et de procurer plus de rapidit aux internautes. De plus, lutilisation dun reverse-proxy viterait certains DoS (Dni de Service) qui ne seraient pas de trs forte intensit et allgerait les charges sur le serveur Web interne. Si lentreprise est assez importante, elle pourrait disposer de plusieurs serveurs Web similaires (pour viter qu'en cas de panne, le site ne soit plus du tout accessible) ; le reverse-proxy raliserait du load-balancing, savoir enverrait les requtes l'un des deux serveurs Web, de faon gale pour rpartir les tches. Dans un second temps, afin de centraliser toutes les requtes vers lextrieur, un proxy interne serait envisager. Comme expliqu dans les rubriques prcdentes, cela peut tre intressant pour raliser des filtrages. Afin dviter daccder du contenu non sollicit (ex : des sites de jeux en ligne au travail), tous les postes du parc informatique iraient sur internet en passant par un serveur proxy simple. Les rgles de filtrage ne seraient alors qu ajouter au serveur proxy qui les prendrait en compte pour chaque requte reue. Puisque cet quipement ne serait pas accessible depuis les autres ordinateurs, il y aurait moins facilement de contournement des rgles de scurit. En outre, si un problme persiste sur le rseau, le serveur proxy (intermdiaire entre le rseau priv et la toile) diagnostiquerait ce problme. Grce la journalisation et les logs du trafic, il est possible de remonter aux postes infects au lieu de chercher le(s) problme(s) sur tout le parc informatique. Vous laurez remarqu, les possibilits sont nombreuses quant leurs utilisations.

annexes

http://fr.wikipedia.org/wiki/Proxy - Article de Wikipdia sur les serveurs mandataires http://fr.wikipedia.org/wiki/R%C3%A9partition_de_charge Article concernant le phnomne de load-balancing ou encore rpartition de charge http://www.commentcamarche.net/contents/lan/proxy. php3 - Article intressant sur le site CommentCaMarche. net http://www.squid-cache.org/ - Squid, Proxy pouvant utiliser les protocoles FTP, HTTP/HTTPS et Gopher (peut servir de Reverse-proxy) http://varnish-cache.org/ - Autre reverse-proxy Varnish http://imapproxy.org/ - Proxy utilisant le protocole IMAP

hakin9.org/fr

Scurit rSeaux

Pierre veut contacter le site web http:// website.com

Rseau interne de l'entreprise. Le serveur mandatire recolt la requte de Pierre Aprs avoir scuris/ loggu la requte etc. Il l'envoie au serveur Web interne.

Pierre Serveur Web http:// website.com Le serveur Web interne rpond la requte de Pierre Le serveur mandataire renvoie la rponse HTTP Pierre

Reverse-proxy (HTTP)

Pierre reoit la rponse HTTP du reverse-proxy de manire transparente

Figure 3. Utilisation dun reverse-proxy.

Pierre souhaite communiquer l'aide d'un serveur mandataire SOCKS

Si la requte est considre comme faisable, on l'envoie au serveur cible Le serveur SOCKS vrifie la faisabilit

Client SOCK

Le client SOCKS rcupre la rponse si s demande tait l'origine faisable

Serveur SOCKS Le serveur cible rpond

Serveur cible

Figure 4. Utilisation dun serveur mandataire SOCKS.

Cependant, il existe toujours des entreprises qui nutilisent pas ce genre dquipement pourtant trs utile. Leurs raisons sont diverses, notamment une mconnaissance de l'installation d'un tel quipement. Enfin, Une certaine maintenance est ncessaire afin de garder jour les logiciels.

type de serveur dautres systmes tels que des HIDS (Systme de dtection dintrusion), NIDS (Systme de dtection dintrusion rseau), etc. est un bon moyen de scuriser son rseau car les diffrentes traces laisses par les pirates peuvent tre analyses.

conclusion

Nous venons de voir les principaux types de serveurs mandataires utiliss sur la toile et nous avons tent dclaircir certains points, notamment pour les personnes n'ayant que de vagues connaissances des proxys ( savoir, les plus souvent utiliss : les proxys Web). Cependant, il ne faut pas oublier quutiliser un serveur mandataire ne nous protge pas contre tous les risques potentiels sur la Toile. Bien entendu, coupler ce20

ProPoS de L'auteurActuellement en cole dingnieur, Paul tudie diffrents aspects de la scurit informatique. Passionn par la scurit depuis plusieurs annes, il sintresse particulirement la scurit des systmes dinformations et souhaiterait si possible y consacrer sa carrire. 7/2010

Scurit rSeaux

connexion scurise grce SSHrgis SenetProtgez vos communications de l'ensemble des actes de piratage en chiffrant vos donnes ! La mise en place de protocole scuris pour les communications distantes est vivement recommande du fait que nous ne pouvons pas savoir qui nous coute chaque instant dans limmensit de linternet. Il est donc temps de remplacer tous ces protocoles et de possder vos accs SSH.cet article explique... Lintrt dutiliser des protocoles scuris La mise en place dun serveur SSH

ce qu'il faut savoir... Connaissance en systme dexploitation UNIX/Linux

S

SH ou bien Secure Shell est la fois un programme informatique et un protocole de communication scuris. Le protocole de connexion impose un change de cls de chiffrement en dbut de connexion. Par la suite toutes les trames sont chiffres. Il devient donc impossible d'utiliser un sniffer tel que Wireshark pour voir ce que fait l'utilisateur via les donnes quil reoit ou envoi. Le protocole SSH a initialement t conu avec l'objectif de remplacer les diffrents programmes rlogin, telnet et rsh qui ont la fcheuse tendance de faire passer en clair lensemble des donnes dun utilisateur vers un serveur et inversement, permettant une personne tierce de rcuprer les couples de login/mot de passe, les donnes bancaire etc. Le protocole SSH existe en deux versions: la version 1.0 et la version 2.0. La version 1.0 souffrait de

failles de scurit et fut donc rapidement rendue obsolte avec lapparition de la version 2.0. La version 2 est largement utilise travers le monde par une grande majorit des entreprises. Cette version a rgl les problmes de scurit lie la version 1.0 tout en rajoutant de nouvelles fonctionnalits telles quun protocole de transfert de fichiers complet. La version 1.0 de SSH a t conue par Tatu Ylnen, Espoo, en Finlande en 1995. Il a cr le premier programme utilisant ce protocole et a ensuite ouvert une socit, SSH Communications Security pour exploiter cette innovation. Cette premire version utilisait certains logiciels libres comme la bibliothque Gnu libgmp, mais au fil du temps ces logiciels ont t remplacs par des logiciels propritaires. SSH Communications Security a vendu sa licence SSH F-Secure.

22

7/2010

connexion scurise grce SSH

tement conseille pour la scurit ainsi que la stabilit de votre systme dexploitation.

installation de SSH

Dans un premier temps, nous allons raliser linstallation via le gestionnaire de paquet propre un systme Debian, le systme APT (Advanced Package Tool). Nous verrons linstallation via les sources un peu plus tard.nocrash:~# apt-get install ssh

Installation de SSH en ligne de commande. Les paquets suivants sont des dpendances du paquet SSH : openssh-client client shell scuris openssh-server Serveur shell scuritaire

Figure 1. Logiciel Putty

Au cours de cet article, la distribution utilise fut une Debian 5.0 (Lenny) entirement mise jour. Attention, il est possible que certaines commandes ne soient pas tout fait identiques sur une autre distribution. Lensemble des installations va se raliser grce au gestionnaire de paquets propre un systme Debian : APT (Advanced Package Tool).

installation

installation via les sources

Mise jour du systme

Nous allons prsent voir linstallation via les sources directement disponibles sur le site officiel dOpenSSH (http://www.openssh.org/). Dans lventualit o vous avez dj install OpenSSH via le gestionnaire de paquet comme vu prcdemment, il est ncessaire de le dsinstaller avant de faire une nouvelle installation.nocrash:~# apt-get autoremove ssh

Il est possible tout moment quune faille de scurit soit dcouverte dans lun des modules composant votre systme que ce soit Apache ou quoi que ce soit dautre. Certaines de ces failles peuvent tre critiques dun point de vue scurit pour lentreprise. Afin de combler ce risque potentiel, il est ncessaire de rgulirement mettre jour lensemble du systme grce divers patches de scurit. Il est possible de mettre jour lensemble du systme via la commande suivante :nocrash:~# apt-get update && apt-get upgrade

Une fois correctement dsinstall, il est possible de raliser linstallation par les sources :nocrash:~# mkdir /usr/ssh nocrash:~# cd /usr/ssh/ nocrash:~# wget ftp://ftp.openbsd.org/pub/OpenBSD/ nocrash:~# tar xzvf openssh-5.2p1.tar.gz nocrash:~# cd openssh-5.2p1/

OpenSSH/portable/openssh-5.2p1.tar.gz

nocrash:~# ./configure --bindir=/usr/local/bin -ssh

Le systme dexploitation est maintenant compltement jour, il est donc possible de mettre en place un serveur SSH dans de bonnes conditions. Il est possible de ne pas passer par cette tape mais elle est for-

sbindir=/usr/sbin --sysconfdir=/etc/

nocrash:~# make && make install

En cas derreur, reportez-vous NB.

Figure 2. Nous voici ainsi connect sur notre serveur distant grce Putty hakin9.org/fr23

Scurit rSeaux

configurations pralable

Sur certaines distribution, afin de pouvoir activer le serveur SSH, il est ncessaire de supprimer un fichier prsent par dfaut, le fichier /etc/ssh/sshd_not_to_be_run avant de pouvoir lancer le serveur SSH.nocrash:~# rm -rf /etc/ssh/sshd_not_to_be_run

nocrash:~# vi /etc/ssh/sshd_config

Voici les paramtres principaux au bon paramtrage de notre serveur SSH :Port 22

Une fois le fichier supprim (sil existe), il est possible de passer la phase de configuration.

configuration du serveur SSH

Le fichier regroupant lensemble des configurations du serveur SSH se trouve tre le fichier /etc/ssh/sshd_ config. Nous allons diter ce fichier afin de pouvoir y faire nos modifications.

Cette directive signifie simplement que le serveur SSH va couter sur le port 22 (port par dfaut). Il est possible de faire couter le serveur SSH sur plusieurs ports en rajoutant plusieurs fois cette directive avec des ports diffrents.Protocol 2

Cette directive permet de spcifier que seul la version 2 du protocole SSH sera utilise, la version 1 de SSH est obsolte pour des raisons de scurit.PermitRootLogin no

Cette directive permet dempcher toute connexion distante avec lutilisateur root (superutilisateur). Un accs distant grce avec lutilisateur root par une personne mal intentionne pourrait tre catastrophique pour lintgrit du systme.PermitEmptyPasswords no

Cette directive permet dinterdire les connexions avec un mot de passe vide, il est indispensable de mettre cette directive noLoginGraceTime 30

Figure 3. puTTYKey generator

Cette directive permet de limiter le laps de temps permettant de se connecter au SSHAllowUsers nocrash AllowGroups admin

Ces directives donnent la possibilit de nautoriser que certains utilisateur et/ou groupeAllowTcpForwarding no X11Forwarding no

Ces directives permettent de dsactiver le transfert de port TCP et le transfert X11

authentification

Il existe deux mthodes afin de pouvoir sauthentifier en SSH sur une machine distante. Ces deux mthodes sont :Figure 4. Configuration de Putty

Authentification par cl Authentification par mot de passe7/2010

24

connexion scurise grce SSH

authentification par cl

Lauthentification par cl est un trs bon moyen pour sauthentifier de manire scuris. En effet, des cls asymtriques de type DSA vont tre gnres. Afin de gnrer nos cls DSA, nous allons utiliser la commande suivante :nocrash:~# ssh-keygen -t dsa

IgnoreRhosts yes

#(mettez ces 2 options no si vous ne voulez offrir enregistr leur cls):

l'accs qu'aux utilisateurs ayant

authentification par mot de passe

Les cls gnres par dfaut auront une taille de 1024 bits, ce qui est largement suffisant pour assurer une bonne protection. Deux cls vont donc tre gnres : Une cl publique prsente dans le fichier ~/.ssh/id _ dsa.pub avec les permissions 644. Une cl prive prsente dans le fichier ~/.ssh/id _ dsa avec les permissions 600.

Lors de la cration des cls, une passphrase vous sera demande, il est important de choisir un mot de passe complexe. En effet, cette passphrase permet de crypter la cl prive (cl devant rester absolument votre seule connaissance). Au cas o vous vous seriez tromp dans votre passphrase, il est toujours possible de la modifier grce la commande suivante :nocrash:~# ssh-keygen -p

Lauthentification par mot de passe quand elle est une authentification trs simple mettre en place du fait quil ny a rien mettre en place. Il est ncessaire que lutilisateur voulant se connecter possde un compte sur la machine distante et cest tout. Dans lexemple suivant, nous voulons nous connecter avec lutilisateur NoCrash sur la machine rpondant ladresse IP 192.168.1.138. Nous allons donc vrifier que cet utilisateur existe bien avant tout. Dans le cas o il nexisterait pas, il est ncessaire de le crer sur la machine distante avec un mot de passe (ne pas oublier la directive PermitEmptyPasswords no).nocrash:~# cat /etc/passwd | grep nocrash

nocrash:x:1000:1000:nocrash,,,:/home/nocrash:/bin/bash

Le x juste aprs le login permet de spcifier quun mot de passe est bien prsent. Voici quoi pourrait ressembler le fichier de configuration :Port 22

La dernire tape avant de pouvoir sauthentifier par cl publique est dautoriser sa propre cl. Pour cela, il est ncessaire dajouter votre cl publique dans le fichier /.ssh/authorized _ keys de la machine sur laquelle, vous voulez vous connecter. Pour raliser cela, il est ncessaire dutiliser la commande suivante :nocrash:~# ssh-copy-id -i ~/.ssh/id_dsa.pub login@ Adresse_de_la_machine

Protocol 2

ListenAddress 192.168.1.138 ServerKeyBits 1024 PermitRootLogin no IgnoreRhosts yes Compression yes

PubkeyAuthentication no PasswordAuthentication yes

Pour mon exemple :nocrash:~# ssh-copy-id -i ~/.ssh/id_dsa.pub [email protected]

A prsent que lensemble des configurations sont faites, il est ncessaire de lancer le serveur SSH. Pour cela, nous allons utiliser la commande suivante :nocrash:~# /etc/init.d/ssh start

Voici quoi pourrait ressembler le fichier de configuration :Port 22

Si tout ce passe bien, nous allons avoir le message suivant :Starting OpenBSD Secure Shell server :sshd.

Protocol 2

ListenAddress 192.168.1.138 ServerKeyBits 1024 PermitRootLogin no AuthorizedKeysFile

Il est alors possible de pouvoir se connecter la machine distante.

connexion.ssh/authorized_keys

PubkeyAuthentication yes

Afin de se connecter en SSH sur une machine distante possdant un serveur SSH, il est possible dutiliser la li25

hakin9.org/fr

Scurit rSeaux

gne de commande dans le cas o vous tes sous Linux ou MAC. Pour cela, voici la commande utiliser (voir Figure 2) :nocrash:~# ssh login@ Adresse_de_la_machine

Pour cela, il est ncessaire dinstaller John The Ripper, un utilitaire de cassage de mot de passe :nocrash:~# apt-get install john

Soit pour notre exemple :nocrash:~# ssh [email protected]

Il est maintenant possible de vrifier vos mots de passe :nocrash:~# john /etc/shadow

Pour les machines de type Windows, il nexiste pas de client SSH en natif, il est alors ncessaire de passer par des logiciels, tels que Putty (voir Figure 1).

Les mots de passe trouvs sont donc jugs comme tant trop simple, il est prfrable de les modifier.

conclusion

authentification par cl

Comme il est possible de le voir dans lauthentification par mot de passe, nous allons tenter de nous connecter au serveur distant via SSH grce Putty. Putty ne sachant pas grer les clefs gnres par le serveur avec ssh-keygen il faut utiliser lutilitaire puttygen afin de gnrer un couple de cls utilisable. Ouvrez puTTYKey generator puis gnrer une nouvelle paire de cls (voir Figure 3). Cliquez prsent sur Save public key et Save private key afin de sauvegarder les cls. Il est prsent ncessaire de copier la cl publique que vous venez de gnrer sur le serveur distant ladresse suivante : ~/.ssh/authorized_keys

La mise en place de protocole scuris pour les communications distantes est vivement recommand du fait que nous ne pouvons pas savoir qui nous coute chaque instant dans limmensit de linternet. Il ne faut pas non plus croire que le danger vient simplement de linternet. En effet, la majorit des actes de piratages informatique se font au sein dune mme entreprise par les employs eux-mmes. Il est donc temps de protger vos communications de lensemble de ces voyeurs, il est temps de chiffrer vos donnes, il est temps de remplacer tous ces protocoles laissant vos donnes transiter en claires sur le rseau, il est temps de possder vos accs SSH.

Une fois les cls gnres, il est possible de se connecter avec Putty. Il est ncessaire de spcifier lemplacement de la cl prive dans Connection >> SSH >> Auth avant de se connecter (voir Figure 4).

astuces

Dans le fichier de configuration de ssh soit le fichier / etc/ssh/sshd_config, il nest pas obligatoire mais fortement conseill de modifier le port utilis par SSH. Par dfaut, il sagit du port 22. Ce petit changement permet de brouiller un attaquant qui sattendrais voir un SSH sur le port 22 et non pas sur le port 1998 par exemple :Port 1998

Afin de vrifier que vos mots de passe sont assez complexes, il est possible de tenter de les casser vous-mmes afin de vrifier si quelquun dautre en est capable.NB. Si vous systme a rcemment t install, il est possible que certaine librairies soit manquante. Il est ncessaire de les installer : Librairie gcc : apt-get install gcc Librairie libcrypto / SSL: apt-get installlibssl-dev

a PrOPOS De L'auteur...Rgis SENET est actuellement tudiant en quatrime anne lcole Suprieur dinformatique Supinfo. Passionn par les tests dintrusion et les vulnrabilits Web, il tente de dcouvrir la scurit informatique dun point de vue entreprise. Il est actuellement en train de sorienter vers le cursus CEH, LPT et O ensive Security. Contact : [email protected] Site internet : http://www.regis-senet.fr Page daccueil : http://www.openssh.com/ 7/2010

26

Succes Story

Succs de HT BridgeLobjectif de High-Tech Bridge consiste fournir une valeurajoute ses clients en leur proposant des services de scurit informatique fiables, de confiance et hautement efficaces, bass sur les dernires technologies uniques de son dpartement de Recherche et de Dveloppement.

H

igh-Tech Bridge SA est une socit genevoise ne en 2007 dont lactionnariat est dtenu entirement par des privs Suisses. Elle propose des services de Ethical Hacking au travers des tests de pntration, des scans de vulnrabilits, des investigations numriques lgales ; elle propose galement ses prestations d'expert en prvention du cyber-crime. Son emplacement stratgique en Suisse garantit confidentialit, objectivit et absolue neutralit. Lobjectif de High-Tech Bridge consiste fournir ses clients une valeur ajoute en leur proposant des services de scurit informatique fiables, de confiance et hautement efficaces, fonds sur les dernires technologies uniques de son dpartement de Recherche et de Dveloppement. Ce dpartement de Recherche en Scurit Informatique permet d'unir les efforts mondiaux des meilleurs experts en scurit. Les experts de High-Tech Bridge s'efforcent en permanence de dcouvrir de nouvelles vulnrabilits et techniques d'attaque avant que des pirates ne le fassent, ce qui lui permet d'anticiper les problmes et de protger au mieux les clients. Depuis Juin 2010, High-Tech Bridge propose des services d'expertise complmentaires, avec ses modules de Scan de Vulnrabilits Automatis et de Veille Scuritaire. Le Directeur du Dpartement de Ethical Hacking de High-Tech Bridge, M. Frdric Bourla, s'exprime sur cehakin9.org/fr

sujet : "L'introduction d'un service distinct de Scan de Vulnrabilits Automatis souligne l'avantage concurrentiel de High-Tech Bridge sur le march de l'Ethical Hacking. Aujourd'hui, les socits, en majorit, proposent des scans de vulnrabilits automatiss ou semiautomatiss sous l'appellation abusive de tests de pntration , dont l'approche est radicalement diffrente de celle de High-Tech Bridge. D'aprs notre exprience, plus de 60% des vulnrabilits critiques identifies durant un test de pntration sont dcouvertes lors d'une analyse effectue manuellement par nos experts. Il s'agit gnralement d'un savant mlange de vulnrabilits connues dont la signature finale ne permet pas une dtection efficace par un processus automatis". En mme temps, le directeur du Dpartement de Recherche et Dveloppement de High-Tech Bridge, M. Marcel Salakhoff, introduit un nouveau service exclusif de veille de vulnrabilits 0-Day : "High-Tech Bridge est fire d'tre la premire entreprise suisse proposer ce service unique et de haute qualit. La prestation s'adresse principalement aux grandes institutions financires, aux socits multinationales et aux gouvernements dsireux de rduire au maximum les risques de compromission". L'largissement de sa gamme de services permettra High-Tech Bridge d'augmenter ses parts de march et de poursuivre son expansion sur le march de la scurit informatique en Suisse.27

Pratique

Supervisez votre rseau grce Nagiosrgis SenetA lheure actuelle, les rseaux informatiques sont absolument partout. Ils sont devenus indispensables au bon fonctionnement gnral de nombreuses entreprises et administrations. Tout problme ou panne risque d'avoir de lourdes consquences tant financires quorganisationnelles. La supervision des parcs informatiques est alors ncessaire et indispensable.Cet article explique... Ce quest Nagios / Centreon / Cacti

Ce qu'il faut savoir... Connaissance en systme dexploitation Linux et les bases des rseaux

N

ous appuierons l'ensemble de nos explications sur l'utilisation d'un serveur GNU/Linux fond sur une distribution Debian, la Debian 5.0 (Debian Lenny). La distribution Debian a t choisie pour sa solidit, sa stabilit et sa popularit. NB. Vue la longueur de larticle, nous lavons divis en 2 parties. Vous trouverez la suite de larticle Nagios dans la partie 2.

installations des pr-requis systme

tout moment une faille de scurit est susceptible d'tre dcouverte dans lun des modules composant votre systme, que ce soit Apache, un module du noyau ou quoi que ce soit dautre. Certaines de ces failles sont parfois critiques pour lentreprise, dun point de vue scurit. Afin de prvenir ce risque potentiel, il est ncessaire de rgulirement actualiser lensemble du systmenocrash:~# aptitude -y update && aptitude -y safeupgrade

bon fonctionnement de lensemble des logiciels installer. Elles ne seront pas toutes dtailles mais une liste des librairies ncessaires est reprsente au Listing 1. Nagios, ainsi que lensemble des outils de supervision que nous allons mettre en place, rsument les activits des machines grce des graphiques plus ou moins avancs. Pour cela, il est ncessaire de disposer des bonnes librairies graphiques :nocrash:~# libjpeg62-dev aptitude install -y libgd2-noxpm-dev libpng12-dev libjpeg62

Le systme dexploitation est maintenant compltement jour, la mise en place de notre serveur de supervision peut se faire dans de bonnes conditions. Si cette tape n'est pas indispensable, elle est toutefois fortement conseille pour la scurit et la stabilit de votre systme dexploitation.

Le serveur sera constamment lheure, grce un serveur de temps. En effet, si le serveur nest plus la bonne heure, les graphiques et les fichiers de journalisation seront faux, entranant ainsi des erreurs lors de la lecture des donnes. Pour installer un serveur de temps, aussi appel serveur NTP (Network Time Protocol), il suffit dutiliser la commande suivante : Pour toute modification sur la configuration du serveur NTP, il sera ncessaire de modifier le fichier de configuration /etc/ntp.conf mme si des serveurs sont initialement prsents dans ce fichier.nocrash:~# aptitude install -y ntp-simple ntpdate

installation dun serveur de temps

installation des librairies requises

Durant toute la mise en place du serveur de supervision, de nombreuses librairies seront ncessaires au28

installation dun serveur de messagerie SMtP

Lors de changement de statut dun hte ou plus, Nagios a la possibilit denvoyer des mails une ou plusieurs7/2010

Supervisez votre rseau grce Nagios

adresses prdfinies. Mais la prsence dun serveur SMTP est indispensable. Nous utiliserons le trs clbre postfix afin de rpondre nos besoins en la matire (cf Figure 1). Son installation sera ici trs basique nincluant pas toutes les tapes de configuration, doptimisation et de scurit normalement ncessaires. Pour linstallation, voici la commande lancer : Pour le type dutilisation dont nous avons besoin et pour plus de commodit au niveau des configurations, nous choisirons Site Internet.nocrash:~# aptitude install -y postfix mailx

avec les activits, les graphiques, les utilisateurs etc. cette fin, nous mettrons en place une base de donnes. Nous avons opt pour une base de donnes MySQL car cest lun des SGDB (Systme de Gestion de Base de Donnes) le plus utilis et aussi en raison de sa licence libre (cf Figure 2). Installons donc la dernire version de MySQL :nocrash:~# aptitude install -y mysql-server-5.0 libmysqlclient15-dev

installation dune base de donnes MySqL

Durant nos installations, de nombreux logiciels devront stocker une trs grande quantit de donnes en rapportListing 1. Installation des pr-requis

Une importante partie de la scurit de la base de donnes passe par la complexit du mot de passe. Il est vraiment indispensable qu'il soit complexe, mlangeant chiffres et lettres majuscules ou minuscules. Une fois la base de donnes installe, il faut modifier les droits des fichiers de configuration :

nocrash:~# aptitude install -y build-essential zip unzip sudo lsb-release libxml2-dev libevent1 snmp snmpd bind9-host dnsutils qstat zlib1g-dev radiusclient1 fping libldap-dev libgnutls-dev libradiusclient-ng-dev nmap libconfiginifiles-perl libcrypt-des-perl libdigest-hmac-perl libsnmp-perl libdigest-sha1-perl libgd-gd2-perl libnet-snmp-perl gettext locales

Listing 2. Installation de SSHGuardnocrash:~# cd /var/

nocrash:~# wget "http://downloads.sourceforge.net/project/sshguard/sshguard/sshguard-1.4/sshguard-1.4.tar.bz2" nocrash:~# bzip2 -d sshguard-1.4.tar.bz2 nocrash:~# tar -xf sshguard-1.4.tar nocrash:~# rm -rf sshguard-1.4.tar nocrash:~# mv sshguard*/ sshguard/ nocrash:~# cd sshguard/ nocrash:~#./configure --with-firewall=iptables nocrash:~# make && make install

Listing 3. Mise en place des fichiers de configuration Nagiosnocrash:~# mv /etc/nagios3 /etc/nagios3.orig nocrash:~# mkdir /etc/nagios3 nocrash:~# cp -Rt /etc/nagios3 /etc/nagios3.orig/nagios.cfg /etc/nagios3.orig/apache2.conf /etc/nagios3.orig/ stylesheets/ nocrash:~# chown nagios:www-data /etc/nagios3 nocrash:~# chmod ug+w /etc/nagios3

Listing 4. Installation de Centreonnocrash:~# cd /usr/src/

nocrash:~# wget http://download.centreon.com/centreon/centreon-2.1.1.tar.gz nocrash:~# tar xzf centreon-2.1.1.tar.gz nocrash:~# rm -rf centreon-2.1.1.tar.gz nocrash:~# cd centreon-2.1.1 nocrash:~#./install.sh -i

hakin9.org/fr

29

Pratique

nocrash:~# chown -R root /etc/mysql/nocrash:~# chmod 740 /etc/mysql/my.cnf

MySQL est galement livre avec un script de scurisation de la base de donnes nomm mysql _ secure _ installation quil est vivement conseill dexcuter :nocrash:~# mysql_secure_installation

Scurisation du serveur SSH

Pour permettre les communications avec la machine distante, il est ncessaire de mettre en place un serveur SSH permettant une communication chiffre entre le client et le serveur : Une fois le serveur SSH correctement install, il convient dapporter quelques modifications dans son principal fichier de configuration, le fichier /etc/ssh/sshd_config : LoginGraceTime 120 devient LoginGraceTime 30. La directive LoginGraceTime indique en secondes, la dure entre la connexion au serveur dun client et sa dconnexion lorsque le client ne sest pas authentifi. PermitRootLogin yes devient PermitRootLogin no. La directive PermitRootLogin place no interditnocrash:~# aptitude install -y ssh

ladministrateur principal (root) de se connecter directement la machine distante. Cest une mesure de scurit mettre obligatoirement en place. SI un accs root tombe entre de mauvaises mains, les consquences pourraient tre terribles. X11Forwarding yes devient X11Forwarding no. La directive X11Forwarding place no interdit lutilisation distance de linterface graphique prsente sur le serveur.

De plus, nous ajouterons la directive suivante la fin du fichier : AllowTcpForwarding nonocrash:~# echo "AllowTcpForwarding no" >> sshd_config

Linstallation de Molly Guard est une excellente chose. En effet, il peut facilement nous arriver de confondre deux terminaux sur notre machine. Molly Guard demandera donc le nom de la machine afin de confirmer son arrt ou son redmarrage.nocrash:~# aptitude install -y molly-guard

Pour viter des attaques par dictionnaire ou par bruteforce contre le protocole SSH et destines trouver le mot de passe, il est prfrable d'installer un antibruteforceur au lieu de bloquer compltement le protocole SSH. Cet outil se nomme Denyhosts. Denyhosts est un logiciel tournant en arrire-plan analysant continuellement le fichier de log /var/log/auth.log et qui, au bout de plusieurs vaines tentatives (selon la configuration) de connexions, blackliste l'IP en cause dans le fichier /etc/hosts.deny. Voici commencer installer Denyhosts simplement :nocrash:~# aptitude install -y denyhosts

Figure 1. Configuration de Postfix

Modifier la configuration par dfaut, ncessite l'dition du fichier de configuration principal de Denyhosts : / etc/denyhosts.conf. Il est possible de coupler Denyhosts avec SSHGuard. SSHGuard ditera les rgles du firewall la vole afin daccepter ou non les htes (voir Listing 2). Lensemble des configurations sera pris en compte aprs le redmarrage du serveur SSH.nocrash:~# /etc/init.d/ssh restart

installation du serveur web

Figure 2. Choix du mot de passe MySQL

Pour pouvoir profiter de linterface graphique de Nagios, il est impratif de mettre en place un serveur web. Nous avons opt pour un serveur Apache. Apache est le serveur HTTP le plus populaire du Web et il sagit dun logiciel entirement libre. Apache s'installe grce cette commande :7/2010

30

Supervisez votre rseau grce Nagios

Figure 3. Configuration de Ndoutils pour Nagiosnocrash:~# aptitude install -y apache2 libapache2-mod-gnutls openssl nocrash:~# echo "extension=mysql.so" >> /etc/php5/apache2/php.ini

Le site nous prsentant Nagios ntant pas un site statique, il nous est ncessaire de mettre galement en place lensemble des librairies PHP5 pour une interprtation correcte des pages :nocrash:~# aptitude install -y php5 php5-gd php5-mysql libapache2-mod-php5 php5-cli php5-ldap php5-snmp php-pear apache2-threaded-dev

XCache acclre la vitesse du site lors de son affichage ; il sinstalle trs simplement :nocrash:~# aptitude install -y php5-xcache

Afin dviter lerreur suivante :

Puis, afin que lensemble des configurations soit prit en compte, il est ncessaire de redmarrer le serveur web et la base de donnes :nocrash:~# /etc/init.d/apache2 restartncrash:~# /etc/init.d/mysql restart

Restarting web server: apache2apache2: Could not

fully qualified domain name, using 127.0.1.1 for ServerName

reliably determine the server's

... waiting apache2: Could not reliably determine the server's fully qualifieddomain name, using 127.0.1.1 for ServerName

Lorsque vous redmarrez votre serveur Apache, nommez votre serveur de la manire suivante :nocrash:~# echo "ServerName 127.0.0.1" >> /etc/apache2/apache2. conf

Par dfaut, la librairie MySQL nest pas active ; il est ncessaire de lactiver pour viter tout bug :hakin9.org/fr

Figure 4. Configuration de Centreon

31

Pratique

Listing 5a. Choix des fichiers de configuration CentreonPress "Enter" to read the Centreon License, then type "y" to accept it.

[y/n], default to [n]: y Where is the RRD perl module installed [RRDs.pm] RRDs.pm

Do you want to install : Centreon Web Front [y/n], default to [n]: y

default to [/usr/lib/perl5/RRDs.pm]: /usr/lib/perl5/

Do you want to install : Centreon CentCore [y/n], default to [n]: y

Where is PEAR [PEAR.php]

default to [/usr/share/php/PEAR.php]: /usr/share/php/ PEAR.php

Do you want to install : Centreon Nagios Plugins [y/n], default to [n]: y

Where is installed Nagios ? nagios3

default to [/usr/local/nagios]: /usr/lib/cgi-bin/

Do you want to install : Centreon Snmp Traps process [y/n], default to [n]: y

Where is your Centreon directory?

Where is your nagios config directory

default to [/usr/local/centreon]: /usr/local/centreon Do you want me to create this directory ? [/usr/local/ [y/n], default to [n]: y centreon]

default to [/usr/local/nagios/etc]: /etc/nagios3 Where is your Nagios var directory ?

default to [/usr/local/nagios/var]: /var/lib/nagios3 Where is your Nagios plugins (libexec) directory ? default to [/usr/local/nagios/libexec]: /usr/lib/ nagios/plugins

Where is your Centreon log directory centreon/log

default to [/usr/local/centreon/log]: /usr/local/

Where is your Nagios image directory ?

Do you want me to create this directory ? [/usr/local/ [y/n], default to [n]: y centreon/log]

default to [/usr/local/nagios/share/images/logos]: logos

/usr/share/nagios/htdocs/images/

Where is your Centreon etc directory

Where is your NDO ndomod binary ?

default to [/etc/centreon]: /etc/centreon Do you want me to create this directory ? [/etc/ [y/n], default to [n]: y centreon]

default to [/usr/sbin/ndomod.o]: /usr/lib/ndoutils/ ndomod-mysql-3x.o

default to [/etc/sudoers]: